windows内核SSDT

<寒江独钓>Windows内核安全编程__Ramdisk源码解读

这篇文章来介绍一下WDK中提供的一个案例源码--Ramdisk虚拟磁盘。这个例子实现了一个非分页内存做的磁盘储存空间,并将其以一个独立磁盘的形式暴露给用户,用户可以将它格式化成一个Windows能够使用卷,并且像操作一般的磁盘卷一样对它进行操作。由于使用了内存作为虚拟的存储介质,使这个磁盘具有一个显著的特点,性能的提高。这个例子所使用的微软WDF驱动框架。入口函数1.入口函数的定义任何一个驱动程序
aksnzhy·2011-10-20 11:00

读书笔记_windows内核编程基础_part 2

在进行编译驱动程序时,要对使用的平台进行选择,包括x86, x64, IA64. X86指的是IA32平台,它是一个intel通用计算机系列的标准编号的缩写,也标识一套通用的计算机指令集合,X与处理器没有任何关系它是一个对所有*86系统的简单的通配符定义。采用32位变长指令集,32位寄存器,32位直接寻址范围。 X64,有时会称为“x86-64”,是64位微处理器架构及其相应指令集的一种,也是
wodamazi·2011-10-18 22:00

<寒江独钓>Windows内核安全编程__键盘过滤之内核级Hook(二)

 Windows内核安全编程__键盘过滤内核级Hook(二)如果不想让键盘过滤驱动程序或回调函数首先获得按键,则必须比端口驱动更加底层一些。
aksnzhy·2011-10-17 09:00

走近汇编理解与内核编程

因为不用看源码,所以看Windows内核原有的代码和看自己的代码基本没有太大的区别,只要别跟太远。这样就获得了远远超出一般只能看懂C语言的程序员的能力。许多问
aksnzhy·2011-10-14 22:00

<寒江独钓>Windows内核安全编程__键盘过滤之内核级Hook(一)

 Hook分发函数前一篇文章讲述了进行键盘过滤,截取用户输入的方法。本篇文章开始更加深入地讨论键盘的过滤与反过滤对抗。无论是过滤还是饭过滤,原理都是过滤,取胜的关键在于谁第一个得到信息。一种方发是Hook分发函数,即将键盘驱动的分发函数替换成自己的函数用来达到过滤的目的。1.获得类驱动对象首先要获得键盘类驱动对象,才能去替换下面的分发函数。这个操作较为简单,因为这个驱动的名字是“\\Device\
aksnzhy·2011-10-14 20:00

Windows内核 - 调试:符号文件和Windbg的安装与环境配置

 flyingstarsoul2007-9-21        内核调试:内核调试可以帮助我们查看内核的内部数据结构,跟踪内核中的函数,从而探查Windows的内部机理。内核调试工具有Microsoft的Windows调试工具箱、CompuwareNuMega的SoftIce、www.sysinternals.com上的LiveKD等等。       内核调试所需的符号文件:符号文件包含了函数和变
blizmax6·2011-10-14 13:00

读书笔记_windows内核调试_part 2_内核对话过程

内核对话Windows启动内核调试后,主要做了以下几个工作1.建立连接2.调试器读取目标系统信息,初始化调试引擎(目标机)。3.内核调试引擎通过状态变化信息包通知调试器加载初始模块的调试符号(目标机)。4.调试器端发送中断包,将目标系统中断到调试器,交互调试后又恢复执行的过程。5.因断点命中,目标系统中断到调试器的过程。6.内核中的模块输出调试字符串(DbgPrint)到调试器《软件调试》(490
wodamazi·2011-10-14 10:00

<寒江独钓>Windows内核安全编程__传统键盘过滤程序

 技术原理1.预备知识何为符号链接?符号链接其实就是设备的一个“别名”。在应用程序中想要访问设备一般要通过符号链接来完成,而不是设备名本身。ZwCreateFile是很重要的函数。同名的函数有两个:一个在内核中(ntknos.exe),一个在应用层(ntdll.dll)。在应用程序中调用CreateFile就可以引发对这个函数的调用。它不但可以打开文件,还可以打开设备(返回一个类似于文件句柄的句柄
aksnzhy·2011-10-13 12:00

读书笔记_windows内核调试_part2_ 多核启动过程

多核启动过程 下面我们看多核处理器的启动过程,在part 1中介绍过每个CPU都会执行KiInitializeKernel函数,但只有第一个CPU才执行其中的所有初始化工作,包括全局的初始化,其他CPU只执行CPU的相关的部分。0号CPU才调用和执行KiInitSystem,初始化Idle进程的工作也只有0号CPU执行,因为只需要一个Idle进程。但是由于每个CPU都需要一个Idle线程,因此每
wodamazi·2011-10-11 22:00

<寒江独钓>Windows内核安全编程__一个简单的Windows串口过滤驱动程序的开发

 在Windows系统上与安全软件相关的驱动开发过程中,“过滤(filter)”是极其重要的一个概念。过滤是在不影响上层和下层接口的情况下,在Windows系统内核中加入新的层,从而不需要修改上层的软件和下层的真实驱动,就加入了新的功能。 过滤的概念和基础 1.设备绑定的内核API之一进行过滤的最主要方法是对一个设备对象(DeviceObject)进行绑定。通过编程生成一个虚拟设备,并“绑定”(A
aksnzhy·2011-10-10 23:00

北京某公司招聘Windows内核研发工程师

岗位描述:负责信息安全类软件产品开发。  任职资格:1、信息安全相关专业,本科及以上学历,两年及以上相关工作经验; 2、精通window操作系统文件过滤驱动编程技术,做过相关产品者优先;3、熟练掌握操作系统原理、操作系统安全机制;4、良好的英文阅读、写作能力;5、对安全类产品研发具有浓厚的兴趣,具有钻研精神; 6、对工作认真负责,能够承担一定工作压力;7、善于学习,具有分析、解决应用问题的能力。 
bjandy·2011-10-10 18:45

读书笔记_windows内核调试_part 1

1. 远程调试的三种连接方式:串行口,1394和USB 2.0 串口分为9针和25针,是最基本的通信方式,所有的内核通信都支持串口通信。 1394又成为火线,是一种高性能的串行总线通信标准。使用1394进行通信时,目标系统和主机端的系统版本都必须至少是windows XP。 USB 2.0。 USB是Universal Serial Bus的缩写,是一种低成本高性能的串行总线标准,USB端口
wodamazi·2011-10-07 22:00

读书笔记_windows内核编程基础_part 1

1. 数据类型的定义,一般使用重定义的方式,例如ULONG,UCHAR等,x86到x64平台,指针从4字节转变成8字节。 2. 大多数的内核API都返回一个状态,这个状态的类型为NTSTATUS。一般用宏NT_SUCCESS()来判断返回值是否成功 3. DbgPrint()输出的字符串可以在debugview下观察到 UNICODE_STRING str = RTL_CONSTANT_ST
wodamazi·2011-10-07 19:00

内核 HOOK ZwMapViewOfSection

//lwglucky.blog.51cto.com/1228348/284829 有部分模块加载时会调用ZwMapViewOfSection,比如进程创建时映射N份DLL到自己的虚拟空间中去.我们替换SSDT
digimon·2011-10-06 19:00

关于SSDT HOOK取消内存写保护的问题

有些人说不去掉也不会蓝屏,照样能HOOK成功确实,我当时也是这样过。。。不过拿给别人机器一测试就蓝了网上找到了MJ给出的答案:当使用大页面映射内核文件时,代码段和数据段在一块儿,所以页必须是可写的,这种情况下直接改是没有问题的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement下面增加
evi10r·2011-10-02 15:00

做了个隐藏进程跟保护进程的小工具

原理就是HOOK了SSDT的NtQuerySystemInformation和NtTerminateProcess工具基本用处不大不过代码还是有值得学习的地方需要源码的可以留邮箱http://download.csdn.net
evi10r·2011-10-02 12:00

windows内核对象

内核对象是windows内核分配的一个内存块,该内存块是一种数据结构,存储了该对象的各种信息。
xywlpo·2011-09-25 14:00

IOCP模型总结

而这些线程都是可运行的,Windows内核花费大量的时间在进行线程的上下文切换,并没有多少时间花在线程运行上。再加上创建新线程的开销
WongWayne·2011-09-23 12:00

<学习笔记>Windows驱动开发技术详解__Windows内核函数

这篇文章主要复习Windows内核中字符串处理函数,文件读写函数,注册表读写函数。
aksnzhy·2011-09-20 10:00

windows线程同步方法

内核对象方式:WINDOWS内核提供的可以用来进行线程同步的内核对象,都是可以发信号(Signaled)的对象,在WINDOWS中它们被称为“调度程序对象”(dispatcherobject)。
qinqqfirst·2011-09-19 09:00

WINDOWS内核对象

 WINDOWS内核对象 一.前言 Windows中有很多像进程对象、线程对象、文件对象等等这样的对象,我们称之为Windows内核对象。内核对象是系统地址空间中的一个内存块,由系统创建并维护。
a199228·2011-09-15 20:00

windows内核情景分析》读书笔记(2)---系统调用

1、内核与系统调用基础对于应用程序进程来说,操作系统内核的作用体现在一组可供调用的函数,称为系统调用(也成"系统服务")。从程序运行的角度来看,进程是主动、活性的,是发出调用请求的一方;而内核是被动的,只是应进程要求而提供服务。从整个系统运行角度看,内核也有活性的一面,具体体现在进程调度。系统调用所提供的服务(函数)是运行在内核中的,也就是说,在"系统空间"中。而应用软件则都在用户空间中,二者之间
飞翔荷兰人·2011-09-13 16:00

windows内核情景分析》读书笔记(1)---概述

2、windows内核初探系统结构图如下:windows内核可分为两部分①核心层:包括硬件抽
飞翔荷兰人·2011-09-13 15:00

进程隐藏与进程保护(SSDT Hook 实现)(三)

获取当前系统下所有进程:3.服务管理(安装,启动,停止,卸载):4.应用程序和内核程序通信:5.小结:               1.引子:                         关于这个SSDTHook
小宝马的爸爸·2011-09-05 23:00

zw和nt开头的系统调用的区别

在RING0下,调用NT函数跟ZW函数就不一样了ZW开头的函数是通过eax中系统服务号去SSDT中查找相应的系统服务,然后调用之若在驱动中直接调用NT开头的函数是不会经过SSDT的也不会被SSDTHOOK
namelcx·2011-09-05 14:00

进程隐藏与进程保护(SSDT Hook 实现)(二)

文章目录:                 1.引子–Demo实现效果:2.进程隐藏与进程保护概念:3.SSDTHook框架搭建:4.Ring0实现进程隐藏:5.Ring0实现进程保护:6.隐藏进程列表和保护进程列表的维护
小宝马的爸爸·2011-09-04 18:00

进程隐藏与进程保护(SSDT Hook 实现)(二)

文章目录:                 1.引子–Demo实现效果:2.进程隐藏与进程保护概念:3.SSDTHook框架搭建:4.Ring0实现进程隐藏:5.Ring0实现进程保护:6.隐藏进程列表和保护进程列表的维护
Zachary.XiaoZhen Bloger·2011-09-04 10:00

进程隐藏与进程保护(SSDT Hook 实现)(一)

文章目录:                 1.引子–Hook技术:2.SSDT简介:3.应用层调用Win32API的完整执行流程:4.详解SSDT:5.SSDT Hook原理:6.小结:          
小宝马的爸爸·2011-09-03 08:00

进程隐藏与进程保护(SSDT Hook 实现)(一)

文章目录:                 1.引子–Hook技术:2.SSDT简介:3.应用层调用Win32API的完整执行流程:4.详解SSDT:5.SSDT Hook原理:6.小结:          
Zachary.XiaoZhen Bloger·2011-09-03 00:00

SocketProgram - Introduction Socket IOCP

而这些线程都是可运行的,Windows内核花费大量的时间在进行线程的上下文切换,并没有多少时间花在线程运行上。再加上创建新线程的开销比较
blizmax6·2011-09-02 03:00

WINDOWS驱动开发的两本好书!

第一本天书夜读——从汇编语言到Windows内核编程作者:谭文和邵坚磊这本书适合C/C++程序员、软工,如果没有汇编语言基础也没有关系,如果想做驱动开发或者了解WINDOWS内核,强烈推荐!!!
netanimals·2011-08-31 17:00

Hyper-V技术

我跟他说了hyper-vserver.但是我自己对这个hyper-vserver这个产品不熟悉,它是全新的一个基于windows内核的虚拟化应用,还是等于windowsserver2008serv
gnaw0725·2011-08-31 15:52

菜鸟之驱动开发10

 在第10节里,我们要写一个ssdthook功能的应用程序,因为是应用程序没有SSDTHOOK的能力,所以我们要写一个具有HOOK能力的驱动,然后应用程序发命令到驱动完成功能。
favormm·2011-08-28 10:00

windows内核调试模式的开启

可以通过以下命令开启:bcdedit/debugON重启计算机器后windows内核就处于调试模式了;在此模式下,有下安全性要求极高的软件是用不了的,如某些银行的网银系统。
hongqun·2011-08-27 13:00

菜鸟之驱动开发4

在上一节,我们学到了如何读取SSDT表中函数的当前地址与系统地址,有了这两个地址我们就可以判断该函数是否被inlinehook了,如果NSOpenProcess被hook了,那么我们就无法用od对进程进行载入
favormm·2011-08-18 00:00

菜鸟之驱动开发3

 今天我们接上第二课继续加新功能:读取SSDT。什么是ssdt?
favormm·2011-08-16 20:00

进程内存地址

32位Windows内核系统涉及的进程内存地址。(64位Windows请参考其他资料)进程的虚拟地址空间每个进程都有自己的虚拟地址空间。
anye3000·2011-08-09 23:00

Windows内核对象 - 通过异步程序调用(APC)实现的定时功能

Windows内核对象-通过异步程序调用(APC)实现的定时功能1.Windows定时器内核对象  定时器是一个在特定时间或者规则间隔被激发的内核对象。
trojanpizza·2011-08-09 23:00

xx_学驱动 -- 初识SSDT、读取内核API地址、、

SSDT 表的初步学习、、 1 理论知识、、大概思路和理论知识、、首先明白应用层到内核层会通过一张SSDT 表、、我们要根据SSDT结构和索引号来获取函数的当前地址  如果检测一下这个函数有木有被HOOK
许朝·2011-08-09 22:00

Hyper-V产品释疑

我跟他说了hyper-vserver.但是我自己对这个hyper-vserver这个产品不熟悉,它是全新的一个基于windows内核的虚拟化应用,还是等于windowsserver2008serv
gnaw0725·2011-08-08 10:04

Visual Studio有了更好的SQL Server工具——Juneau

SQLServer开发工具(SSDT)Juneau让我们可以在VisualStudio中对数据库开发进行测试、调试、版本控制、重构、依赖性检测和部署。
Roopesh Shenoy·2011-08-07 00:00

C#中标准Dispose模式的实现

简单的说来,C#中的每一个类型都代表一种资源,而资源又分为两类: 托管资源:由CLR管理分配和释放的资源,即由CLR里new出来的对象; 非托管资源:不受CLR管理的对象,windows内核对象
webcode·2011-08-04 20:00

US Trip Day 05 有图有真相

在出发前往总部之前,听了Windows内核高手MarkRussinovich的有趣讲座,专门解释如何手动分辨与清除顽固
店长 Mao..·2011-07-29 11:00

过NP 系列之一---搞定QQ游戏系列(寻仙,DNF等等)驱动保护TesSafe.sys

 1.用RKU看一下SSDTSSDTShadow,发现SSDT并没有被HOOK,SSDTShadowHOOK了5个调用:NtUserBuildHwndListNtUserFindWindowExNtUserGetDCNtUserGetDCExNtUserGetForegroundWindow
hmc1985·2011-07-29 09:00

探究Windows内核你知多少

 探究Windows内核你知多少2009-05-1215:3811036人阅读评论(27)收藏举报Windows内核    如上所述,现代操作系统的一个明显特征就是用户空间和系统空间的划分,从UNIX时代以来
junecau·2011-07-23 15:00

IOCP模型总结

而这些线程都是可运行的,Windows内核花费大量的时间在进行线程的上下文切换,并没有多少时间花在线程运行上。再加上创建新线程的开销比较
脸同学·2011-07-21 15:00

面试一道题--C模拟实现C++的多态

上个月面试了一些快要毕业在找工作的学生,有个奇怪的感觉,学校就是学校,搞的东西大多是理论或者算法方面的,听的我是云里雾里,还有就是很NB很酷的那种,动不动就是内核,驱动,有分析Linux内核源码的,有做Windows
viper·2011-07-19 10:00

使用AutoMapper实现Dto和Model的自由转换(中)

【二】以Convention方式实现零配置的对象映射我们的AddressDto和Address结构完全一致,且字段名也完全相同。
zz8ss5ww6·2011-07-17 15:00

使用AutoMapper实现Dto和Model的自由转换(中)

【二】 以Convention方式实现零配置的对象映射 我们的AddressDto和Address结构完全一致,且字段名也完全相同。对于这样的类型转换,AutoMapper为我们提供了Conv
zz8ss5ww6·2011-07-17 15:00

一个linux狂人的语录

如果你只需要处理一般的事务,打游戏,那么你不需要了解下面这些了。我不是一个狂热的自由软件份子,虽然我很喜欢自由软件。这篇文章也不是用来推行自由软件运动的,虽然我觉得自由软件运动是非常好的。这篇文章也不是用来比较Linux和Windows
redmaple34·2011-07-14 09:25
上一页 22 23 24 25 26 27 28 29 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他