windows内核SSDT

360安全卫士hookport.sys简单逆向

它的数据结构是这样的:structMyHookMgr{        DWORDssdtSize;      
lionzl·2012-07-11 22:00

SSDT Hook的妙用-对抗ring0 inline hook

SSDTHook的妙用-对抗ring0inlinehook               2007/03/1212:27               |鬼仔|技术文章|占个座先标题:【转载】SSDTHook
dj0379·2012-07-11 18:00

shadow ssdt

(是第一个字段).然后关键就是这个ServiceTable..字段..关于这个指针..ShadowSSDT Hook系列的文章会说.如果其不是GUI进程则此字段不会指向ShadowSSDT (也就是KeSSSDT
lionzl·2012-07-11 10:00

Hook Shadow SSDT

網上很多文章都有關於SSDT的完整的實現,但是沒有關於Shadow SSDT的完整實現,目前最好的文章是《shadow ssdt學習筆記 by zhuwg》,我這裡的程式也很多參考了他的文章,在這裡謝謝了
lionzl·2012-07-11 10:00

Windows内核函数(1) - 字符串处理函数

  1.ASCII字符串和宽字符串   打印一个ASCII字符串:   CHAR* string = "Hello";   KdPrint(("%s\n", string));        //s为小写   打印一个宽字符字符串   WCHAR* string = L"
wangangie10·2012-07-06 09:00

SSDT Hook (璧山)

    先分析一下ZwQuerySystemInformaition这个函数,它提供给桌面app使用。他用来检索指定的系统信息。看非文档化的资料说明:它的一个参数的类型是:SYSTEM_INFORMATION_CLASS是一个枚举类型,定义了许多系统设置信息。它被用在NtQuerySystemInfomation和NtSetSystemInformaiton. 如:这个枚举类型包含:SystemB
凌子寒宵·2012-07-04 22:00

linux发行版内核与标准内核编译经验

,安全子系统,网络,文件系统等所有核心关键任务,所以本人对内核有着狂热的折腾精神,编译过netbsd,openbsd,freebsd,debian,oraclelinux.centos就差没去定制编译windows
lovebsd·2012-07-03 16:24

关于SSDT的详解

点这里下载本文的配套代码引子2006年,中国互联网上的斗争硝烟弥漫。这时的战场上,先前颇为流行的窗口挂钩、API挂钩、进程注入等技术已然成为昨日黄花,大有逐渐淡出之势;取而代之的,则是更狠毒、更为赤裸裸的词汇:驱动、隐藏进程、Rootkit……前不久,我不经意翻出自己2005年9月写下的一篇文章《DLL的远程注入技术》,在下面看到了一位名叫L4bm0s的网友说这种技术已经过时了。虽然我也曾想过拟出
oldmtn·2012-07-01 19:00

360安全卫士hookport.sys简单逆向——基础

其中主要方式对SSDT和shadowSSDT安装钩子函数。但其使用了一种较为特殊的实现方法,使众多常规ARK软件很难检测出360安全卫士所的钩子。由于此方法对系统表操作很少,比较稳定。
lionzl·2012-07-01 09:00

菜鸟修炼开始

  2008年第1期夜枫《内核方法实现进程保护》就已经介绍了ring3下修改SSDT表中的NativeAPI技术,只不过实现的是进程保护,hook了不同的API函数而已,同样也是修改SSDT表的操作。 
凌子寒宵·2012-06-29 16:00

HOOK菜鸟孵出

现在开始走往高手的历程:黑客防线中有这样一句话:“HookZwSetInformationFile技术实现文件的保护技术,这个实际上就是Ring3级下修改SSDT表中的NativeAPI技术”。
凌子寒宵·2012-06-28 14:00

必备绝技——hook大法( 中 )

包括SSDT-hook,IDT-hook,sysenter-hook。欢迎讨论,指正!内核层需要驱动,有这方面的基础最好,如果不会,了解下其中的思路也可以的。    
cosmoslife·2012-06-28 14:00

【原创】RootKit hook之[二] SSDT hook

标题: 【原创】RootKithook之[二]SSDThook作者: combojiang时间: 2008-01-12,23:00:47链接: http://bbs.pediy.com/showthread.php
cosmoslife·2012-06-28 13:00

Hook SSDT NtOpenProcess的完整代码

以下是通过HookSSDTNtOpenProcess保护进程的完整代码,对喜欢HOOK的初学者帮助很大驱动代码Protect.C:#include"ntddk.h"#defineNT_DEVICE_NAME
cosmoslife·2012-06-28 12:00

针对 NtOpenProcess服务函数HOOK SSDT示例代码,保护记事本进程

#include////////////////////////////////////////////////////////////////////////////函数声明NTSTATUSDriverEntry(PDRIVER_OBJECTpDriverObject,PUNICODE_STRINGpRegistryPath);VOIDUnload(PDRIVER_OBJECTpDriverOb
cosmoslife·2012-06-27 23:00

一段获取ssdt表及其中函数的简单代码

一段获取ssdt表及其中函数的简单代码typedefstruct_SYSTEM_SERVICE_TABLE{PNTPROCServiceTable;//arrayofentrypointsPULONGCounterTable
cosmoslife·2012-06-22 11:06

学习windows内核书籍推荐

虽然,多年java,正在java,看样子还得继续java。(IT小城,还是整java随意点) 应用程序 运行于操作系统之上,  晓操作系统,方更晓应用程序。 主看windows,闭源才有意思。C&C++, 略 《windows程序设计》 (第5版.珍藏版), 非珍藏版的翻译垃圾,莫看《WINDOWS.核心编程第五版》 《深入理解计算机系统》 (第2版)《用TCP_IP进行网际
tieshow·2012-06-22 02:00

常见编程中缩语

SSDT的全称是SystemServicesDescriptorTable,系统服务描述符表。这个表就是一个把ring3的Win32API和ring0的内核API联系起来的角色。
cosmoslife·2012-06-18 06:00

Windows内核安全编程基础知识(一)

PsGetCurrentProcessId等到当前进程的进程号。 1.、基本数据类型普通类型-------------------------------------------对应内核类型unsignedlong------------------------------------ULONGunsignedchar------------------------------------UCHA
y5023·2012-06-11 21:11

windows 驱动开发基本路线

[具备汇编基础理论书籍]1>汇编语言作者:王爽2>80x86汇编语言程序设计教程[具备Windows调试基础理论书籍]1>软件调试2>Windows用户态程序高效排错[驱动开发扩展书籍]1>寒江独钓-Windows
xx2313第三代·2012-06-05 10:18

KPCR

由于Windows需要支持多个CPU,因此Windows内核中为此定义了一套以处理器控制区(ProcessorControlRegion)即KPCR为枢纽的数据结构,使每个CPU都有个KPCR.其中KPCR
hu3167343·2012-05-29 14:00

centos 5.4 samba搭建

ServiceMessageBlock)协议.这是一个在传输层之上的协议,所以他可以支持很多不同异构系统的网络互联(比如,Linux,Solaris,Windows等),Samba之所以能够工作,因为SMB协议模仿了Windows
sailforever·2012-05-29 11:52

【读书笔记】---Windows内核对象

读书笔记-----------------摘自《windows核心编程》Unicode与ASCII标准的ANSIC字符串函数和它们的等价Unicode函数 char*strchr(constchar*,int);wchar_t*wcschr(constwchar_t*,wchar_t);intstrcmp(constchar*,constchar*);intwcscmp(constwchar_t*
Witch_Soya·2012-05-29 10:00

我的程序员之路进行中

》.王艳平.扫描版 490页3、《Windows核心编程》(第5版)769页4、《竹林蹊径——深入浅出windows驱动开发》506页5、《Windows驱动开发技术详解》 530页6、《寒江独钓——Windows
l0g1n·2012-05-24 21:00

Hook API 原理 解析

HookAPI的理解是,把这个函数地址替换为另一个函数MyCreateFileW的地址,那么每当程序调用CreateFileW时,就会调用MyCreateFileW2HookAPI有什么用在《Rootkits——Windows
on_1y·2012-05-23 19:00

[转]VS2008+WDK 7600 驱动开发环境搭建

link:http://hi.baidu.com/snowdbg/blog/item/2fead9474133f735869473d5.html 最近在研究windows内核编程,一直不习惯用别的
jacky_dai·2012-05-21 17:00

检测断开PsLoadedModuleList链的驱动

有空我还会写关于ssdt检测和修复的部分,我们可以把下面的例子在ssdt检测部分中加入,以解决一些rootkit隐藏了驱动,不能被成功枚举出来的问题PDIRECTORY_BASIC_INFORMATION
·2012-05-18 09:00

WINDOWS内核对象

WINDOWS内核对象 一.前言 Windows中有很多像进程对象、线程对象、文件对象等等这样的对象,我们称之为Windows内核对象。内核对象是系统地址空间中的一个内存块,由系统创建并维护。
·2012-05-17 15:00

Windows XP + VC 6.0 + WinXP_DDK + DriverStudio 3.2 找来的,说的很全面

WindowsXP+VC6.0+WinXP_DDK+DriverStudio3.21·前言开发windows内核驱动程序是一个非常具有挑战性的工作,你得忍耐调试过程中操作系统不断蓝屏、不断崩溃的噩梦,所以强烈建议你采用虚拟机做开发平台
minword·2012-05-17 11:00

SQL Server 2012中自带的SSDT已经废除了多维数据集的浏览功能

SQLServer2008中SQL应用系列及BI学习笔记系列--目录索引在SQLServer2012自带的SQLServerDataTools(SSDT),上个版本中SQLServer2008中对应为BIDS
downmoon·2012-05-15 20:00

SQL Server 2012中自带的SSDT已经废除了多维数据集的浏览功能

SQLServer2008中SQL应用系列及BI学习笔记系列--目录索引在SQLServer2012自带的SQLServerDataTools(SSDT),上个版本中SQLServer2008中对应为BIDS
netxdiy·2012-05-15 20:00

SQL Server Denali:SSDT新功能解读

最后,SSDT计划交付一个与C#和VB.NET一
kkkkhhhh·2012-05-13 20:14

一款优秀的BIDS辅助工具-BIDS Helper

它可以适用于SQLServer2005/2008/2008R2版本对应的BIDevelopmentStudio(BIDS),也可适用于SQLServer2012自带的SQLServerDataTools(SSDT
downmoon·2012-05-09 21:00

一款优秀的BIDS辅助工具-BIDS Helper

它可以适用于SQLServer2005/2008/2008R2版本对应的BIDevelopmentStudio(BIDS),也可适用于SQLServer2012自带的SQLServerDataTools(SSDT
netxdiy·2012-05-09 21:00

面试总结-OS篇(windows与linux内核对比)

首先明确操作系统的几大模块:1.系统初始化2.进程管理3.文件系统4.存储系统管理5.I/O管理那么windows内核和linux内核在这几个模块上有哪些相同之处呢?又有哪些不同之处呢?
hmily1988·2012-05-07 22:07

多线程之旅之三——Windows内核对象同步机制

 内核对象(kernelobject):windows操作系统提供的最近本同步机制,这些对象是构建并发程序和基本并发数据结构的基础。事实上,无论在代码中是否直接使用了这些对象,在软件的某个层次中都肯定会依赖它们。直接使用内核对象将会带来代价很高的内核切换操作,因为内核对象通常是在内核内存中分布的,因此只有在内核态中运行的代码才能访问他们。用户态抽象层通常使用内核对象来实现等待和出发操作,但同时包含
一路转圈的雪人·2012-04-24 10:00

360面试 总结 2013年 校园招聘 2012-4-4

算法+数据结构;可能牵涉windows内核编程;。。。。。。后期,
wojiushiwo987·2012-04-23 23:00

驱动杂记1:对驱动对象,设备对象,设备栈的理解

Windows内核采用的是面向对象的编程方式,但使用的确是C语言。Windows内核认为许多东西都是“对象”,比如一个驱动一个文件一个设备,“对象”相当于一个基类。
zacklin·2012-04-16 18:09

驱动杂记1:对驱动对象,设备对象,设备栈的理解

Windows内核采用的是面向对象的编程方式,但使用的确是C语言。Windows内核认为许多东西都是“对象”,比如一个驱动一个文件一个设备,“对象”相当于一个基类。  
·2012-04-16 18:00

高手进阶windows内核定时器之一

windows内核定时器,定时最小单位为100ns. 比ring3的定时器要精准得多,并且使用它,稳定性高,系统开销小,无需消息队列,且功能强大,是作为数据采集绝好的定时器。
·2012-04-16 14:00

高手进阶windows内核定时器之一

谈到定时器在ring3下有一个,启动和关闭都比较简单,通过两个api函数SetTimer和KillTimer来完成的。对于ring0中的定时器,稍微复杂一些。Ring0 下的定时器有两个,今天我们先看一个。即:利用I/O定时器例程实现的。用于进行固定的1秒时间间隔的操作定时。对应的函数有三个。  在IoInitializeTimer 函数中,我们设置回调函数,回调函数定义格式如下:VOID  (*
·2012-04-16 14:00

城里城外看SSDT

引子2006年,中国互联网上的斗争硝烟弥漫。这时的战场上,先前颇为流行的窗口挂钩、API挂钩、进程注入等技术已然成为昨日黄花,大有逐渐淡出之势;取而代之的,则是更狠毒、更为赤裸裸的词汇:驱动、隐藏进程、Rootkit……前不久,我不经意翻出自己2005年9月写下的一篇文章《DLL的远程注入技术》,在下面看到了一位名叫L4bm0s的网友说这种技术已经过时了。虽然我也曾想过拟出若干辩解之词聊作应对,不
·2012-04-11 16:00

名词解释

SSDT:SystemServiceDescriptorTable MMU:MemoryManagementUnitIRP:I/ORequestPackages IRQL:中断请求级别HAL:硬件抽象层
patdz·2012-04-10 17:52

确保对象的唯一性——单例模式 (一)

如果你的桌面出现多个任务管理器,我请你吃饭,(注:电脑中毒或私自修改Windows内核者除外)。通常情况下,无论我们启动任务管理多少次,Windows系统
bboyfeiyu·2012-04-08 18:00

确保对象的唯一性——单例模式 (一)

如果你的桌面出现多个任务管理器,我请你吃饭,(注:电脑中毒或私自修改Windows内核者除外)。通常情况下,无论我们启动任务
LoveLion·2012-04-02 02:00

SSDT替换ZwSetInformationFile实现保护某文件不被删除

#include typedefstruct_SDT{ PULONGServiceTableBase; PULONGServiceCounterTableBase; ULONGNumberOfService; PUCHARParamTableBase;}SDT,*PSDT; typedefNTSTATUS(__stdcall*ZWSETINFORMATIONFILE)(INHANDLEFileHa
delbboy·2012-03-31 16:00

使用netlink机制实现内核空间和用户空间的双向消息通讯

linux内核2.6版本中提供的各种用户空间和内核空间的通讯机制中,只有netlink机制能够提供类似于Windows内核中事件通知机制类似的通信能力:既可以从内核空间主动发消息给用户空间(Windows
kevin1078·2012-03-29 00:00

王垠:完全用Linux工作

这篇文章也不是用来比较Linux和Windows内核效率,文件系统,网络服务的。我现在是作为
wql19881207·2012-03-22 19:52

Windows内核调试器原理浅析

Windows内核调试器原理浅析                                                                                        
leitianjun·2012-03-21 12:00

IOCP模型总结

而这些线程都是可运行的,Windows内核花费大量的时间在进行线程的上下文切换,并没有多少时间花在线程
xuplus·2012-03-17 18:00
上一页 20 21 22 23 24 25 26 27 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他