windows内核SSDT

Windows内核情景分析(前五章)

Windows内核情景分析(前五章)Linux内核情景分析作者毛德操的又一巨著Part1Part2Part3Part4Part5
To Be C++·2011-02-18 22:00

WDK的安装使用

根据《寒江独钓Windows内核安全编程》的第一章描述的下载安装WDK的步骤打开网页connect.microsoft.com/default.aspx使用MSN帐号登录,还必须用这个帐号向connect
Stephen_yu·2011-02-16 15:00

windows内核代码研究1

最近在看一本书Windows系统结构,潘爱民先生的大作。今天就先去csdn上下载了WRK的代码,然后又去下载了源代码的解决方案文件。   http://www.dcl.hpi.uni-potsdam.de/research/WRK/2009/02/using-visual-studio-with-the-windows-research-kernel-2008-update/ &
yaogangshi·2011-02-13 04:00

在驱动中判断系统是否运行在安全模式

Windows内核导出了一个变量.一个ULONG类型的指针.InitSafeBootMode.用于确定系统运行于何种模式下.驱动程序可以用这个导出的变量来判断系统当前处于何种模式下.下列是关于这个变量的一些取值的说明
wzsy·2011-02-11 10:00

窗口站和桌面的概念

内核对象是由Windows内核实现的一组更基本的对象)。其中,窗口站对象包含了一个剪贴板、一组全局原子和一组桌面对象。桌面对象是一个被包含在
qq752923276·2011-01-26 17:00

(搬运工)IOCP模型的总结

而这些线程都是可运行的,Windows内核花费大量的时间在进行线程的上下文切换,并没有多少时间花在线程运行上。再加上创建新线程的开销比较
点点滴滴·2011-01-25 15:00

vs2008+ddkwizard+wdk基于xp环境 windows内核编程环境配置

     最近在学习windows内核编程,为了搭建一个比较完善的开发环境,使内核编程比较方便,我在网上搜集了很多资料,最后整理出自己的一套比较不错的方案,现在拿出来和大家分享。      
xinshi9608·2011-01-22 16:00

XP系统下VC搭建Windows驱动程序设计情况

     研发windows内核驱动程序是一个非常具有挑战性的工作,你得忍耐调试过程中操作系统不断蓝屏、不断崩溃的噩梦,所以强烈建议你采用虚拟机做研发平台,这样纵然把整个系统都搞蹦了,大不了从新装过虚拟机而已
xinshi9608·2011-01-21 10:00

windows 7 内核程序开发一之开发环境

最近,突发奇想开始学习起windows内核编程。要学习嘛?当然找最新的技术啦。
彭碧辉·2011-01-17 11:00

Windows 内核(WRK)简介

引子WRK是微软于2006年针对教育和学术界开放的Windows内核的部分源码,WRK(WindowsResearchKernel)也就是Windows研究内核,在WRK中不仅仅只提供了Windows内核模块的部分代码
小宝马的爸爸·2011-01-08 21:00

IOCP模型总结

而这些线程都是可运行的,Windows内核花费大量的时间在进行线程的上下文切换,并没有多少时间花在线程运行上。再加上创建
shigaopb·2011-01-03 20:00

minifilter开发文件过滤驱动、以及syser调试的经验

楚狂人谭文的《寒江独钓-Windows内核安全编程》和张帆的《Windows驱动开发技术详解》要反复地读。我用的是最新的WDK7600,那个帮助真叫人汗,英文的倒罢了,怎么不给个例子让人抄。。。
eric491179912·2010-12-29 15:00

IOCP模型总结

而这些线程都是可运行的,Windows内核花费大量的时间在进行线程的上下文切换,并没有多少时间花在线程运行上。再加上创建新线程的开销
larrytang·2010-12-27 14:00

IOCP

而这些线程都是可运行的,Windows内核花费大量的时间在进行线程的上下文切换,并没有多少时间花在线程运行上。再加上创建新线程的开销比较
ly402609921·2010-12-24 15:00

奋斗在路上

推荐了我《天方夜谭-从汇编语言到windows内核编程》,大概看了下就是让明白高级语言在汇编中的表现形式。尤其适合我这种初学者。 于是就如饥似渴的读起来。希望对提高汇编语言有帮助。
xitong·2010-12-23 22:00

奋斗在路上

推荐了我《天方夜谭-从汇编语言到windows内核编程》,大概看了下就是让明白高级语言在汇编中的表现形式。尤其适合我这种初学者。于是就如饥似渴的读起来。希望对提高汇编语言有帮助。
ithzhang·2010-12-23 22:00

【翻译】系统范围内挂钩Native API控制进程创建(SSDT HOOK)

 作者:Anton Bassov原文地址:http://www.codeproject.com/KB/system/soviet_protector.aspx该文同时发表于看雪论坛:http://bbs.pediy.com/showthread.php?t=126574 简介最近我偶然看到一款叫作Sanctuary的安全产品的介绍,这个产品非常有趣.它可以阻止任何程序的的运行,只要在特定
fenghaibo00·2010-12-15 11:00

【原创】WINDOWS 64位SSDT定位思路

在32位Windows中我们有很多定位SSDT的方法,最直接的就是利用导出符号来找到SSDT。再有就是通过在nt!KeAddSystemServiceTable函数中进行反汇编搜索。
lziog·2010-12-06 22:00

人物志·酒若霖

很久以前我学习一些Windows内核对象的知识,在网上看到一篇文章说得很详细,还附带了一张挺有意思的卡通图片。就记住了作者名叫JIURL。本来以为是一个老外。没想到是一个汉语拼音的缩写。
changpei·2010-11-25 14:00

汇编程序开发环境搭配

引子由于这些日子一直都在研究底层的技术,从Windows驱动程序,到Windows内核等等技术的学习,让我对底层的技术越发有兴趣了,而刚好,在研究WRK时,对内存管理,寄存器,地址总线,数据总线,控制总线等的理解不够透彻
pcajax·2010-11-11 13:00

杀毒软件智能主动防御的软肋——无驱恢复系统SSDT

8.3杀毒软件智能主动防御的软肋——无驱恢复系统SSDT表大部分的杀毒软件其内置的主动防御功能,通常考虑到用户易用性的问题,都是采用的智能HIPS拦截,也就是说内置一些HIPS拦截规则,智能判断未知运行的程序安全性
seloba·2010-11-03 17:00

你的未来你想过?Linux和windows之见!

这篇文章也不是用来比较Linux和Windows内核效率,文件系统,网络服务的。我现
zhengzhoudaxue2·2010-10-31 11:00

c++与lua的交互--表的处理

首先我对C++的参数和返回值做了一个封装enum{SD_NUMBER=0,//数字类型SD_STRING,//字符串类型SD_TABLE,//表};structSSDTable{intnNum;void
helloyesyes·2010-10-30 16:00

20、Windows内核函数(1)-Windows驱动开发详解笔记,字符串

1、字符串 1)两种字符串,一种是char型,记录ansi字符集。每个字符一个字节。以0标志结束。在KdPrint中用%s输出。 宽字符型,wchar_t,描述unicode字符集的字符串,每个字符两个字节,以0标志结束。通过L来体现。在KdPrint中用%S输出。 如CHAR *string = "Hello"; WCHAR *string2 = L&quo
·2010-10-28 23:00

windows内核情景分析学习笔记12

1、windows进程的用户空间windows用户空间与系统空间的分界线是0x80000000。应用软件在用户空间可以访问的最高地址是0x7ffeffff,从0x7fff0000就不让访问了,因为在分界线下留了64KB的隔离区。应用软件在用户空间可以访问的最低地址是0x00010000,从0开始的64KB也不让访问。 特殊空间:在系统空间的0xffdf0000处,存放着_KUSER_SHARED_
shentao17792·2010-10-25 19:00

windows内核情景分析学习笔记11

1、windows进程/线程相关函数win32API中创建进程使用CreateProcess函数。CreateProcess完成两件事:①使用NtCreateProcess创建进程②如果NtCreateProcess成功,则使用NtCreateThread创建此进程的第一个线程(主线程) 声明如下:NTSTATUSNTAPINtCreateProcess(OUTPHANDLEProcessHand
shentao17792·2010-10-25 19:00

windows内核情景分析学习笔记10

 1、共享映射区对于用户空间的映射,一个物理页面通常只被映射到一个进程用户空间。对于系统空间的映射,是由所有进程共享的。但是,一个物理页面也可以被映射到多个进程的用户空间,映射到的虚拟地址可以不尽相同。由这样的物理页面映射在多个进程虚存空间形成的连续区间,称为"共享映射区"。 2、共享映射区存在的原因①系统使用共享映射区载入并运行.exe和DLL文件。这大量的节约了页交换文件空间及程序启动的时间②
shentao17792·2010-10-23 09:00

13、Windows驱动开发技术详解笔记(9) 基本语法回顾

10、HOOK SSDT 的实现 SSDT 的全称是System Services Descriptor Table,即系统服务描述符表。
·2010-10-20 22:00

windows内核情景分析学习笔记9

 1、系统调用NtAllocateVirtualMemory凡是用户空间程序要求分配空间,无论是只要求预订一块虚拟地址区间,还是要求兑现预订的虚拟地址(映射到物理地址),或二者兼有,都可以NtAllocateVirtualMemory实现。实际上,熟知的windowsAPI中的VirtualAlloc就是调用了此函数实现功能。 函数声明如下:NTSTATUSNTAPINtAllocateVirtu
shentao17792·2010-10-20 19:00

windows内核情景分析学习笔记8

 1、页面映射页面映射指的是虚存页面到物理页面的映射。多个虚存页面可以映射到同一个物理页面,但同一时间内不可能有多个物理页面对应于同一空间的同一个虚存页面。示意图: 虚存页面是虚的,必须通过映射落实到物理存储介质上。物理存储的第一选择是物理内存,其后备一般选择磁盘上的页面交换文件。(因物理内存成本较高,一般不会做的很大)。这样,只需要将当前正在受到访问以及很可能受到访问的页面保存在物理内存中,其他
shentao17792·2010-10-20 11:00

不得不看的文章

这篇文章也不是用来比较Linux和Windows内核效率,文件系统,网络服务的。我现在是作为一
zhengzhoudaxue2·2010-10-19 23:00

windows内核情景分析学习笔记7

 1、内核对于物理页面的管理物理内存的管理和使用以页面为单位,所以物理内存的管理实际上是对物理页面的管理。在内核中,物理页面是以数据结构PHYSICAL_PAGE代表的,其定义如下:typedefstruct_PHYSICAL_PAGE{union{struct{ULONGType:2;ULONGConsumer:3;ULONGZero:1;}Flags;ULONGAllFlags;};LIST_
shentao17792·2010-10-19 19:00

windows内核情景分析学习笔记6

1、用于数据存储的内存区间分类①全局数据所占空间。由编译器在编译链接时就静态分配好的,与整个进程共存亡。其分配和释放都是不可见、不可为的②局部数据所占的空间。调用函数时自动从堆栈上动态分配的,其寿命取决于函数的作用域。其分配和释放是隐含的。③通过malloc一类函数动态分配的内存。其会一直存在,直到通过free一类的函数加以释放(或进程终止运行)。 2、内核对用户空间的管理对于windows来说,
shentao17792·2010-10-19 11:00

windows内核情景分析学习笔记5

1、“虚拟内存”机制在硬件上,“虚拟内存”是由CPU芯片内部的MMU(存储管理单元)支持的。在软件上,由内核中的内存管理模块实现。采用虚拟内存机制,程序中使用的内存地址为虚拟地址。虚拟地址是无法访问物理内存的,必须经由MMU映射到某个物理页面上,转换为物理地址才能访问。其原理图如下: 2、采用虚拟内存的原因主要原因是必须满足现代操作系统的基本要求:①每个进程的虚拟地址范围是相同的,但实际映射到物理
shentao17792·2010-10-18 19:00

windows内核情景分析学习笔记4

1、_KiSystemService()_KiSystemService()是所有的系统调用入口函数。对应于中断向量0x2e。所以,当中间函数执行int0x2e时,CPU就进入系统空间中的这个函数。进入系统空间时,CPU自动将下列信息压入系统空间堆栈:①用户空间的堆栈位置,包括SS和ESP的内容②EFLAGS的内容③用户空间指令位置,包括CS和EIP的内容这些信息是将来返回用户空间所必须的。  2
shentao17792·2010-10-17 11:00

windows内核情景分析学习笔记2

1、内核与系统调用基础对于应用程序进程来说,操作系统内核的作用体现在一组可供调用的函数,称为系统调用(也成"系统服务")。从程序运行的角度来看,进程是主动、活性的,是发出调用请求的一方;而内核是被动的,只是应进程要求而提供服务。从整个系统运行角度看,内核也有活性的一面,具体体现在进程调度。系统调用所提供的服务(函数)是运行在内核中的,也就是说,在"系统空间"中。而应用软件则都在用户空间中,二者之间
shentao17792·2010-10-16 18:00

4、从汇编语言到Windows内核编程笔记(4)

了解机器码 X86所有指令的机器码长度不定,且连续排列,因此读取机器码的唯一方法是从头开始逐条解析指令。 nop指令是单字节,可以用作填充替换长指令后的多余区域。 XDE32反汇编引擎。 关于进一步机器码的构成分析,可以看[6]。 CPU权限级与分页机制 Intel的x86通过ring级别进行访问控制,共分四级。R0最高,R3最低。现在的操作系统只分两级R0和R3.R0代
·2010-10-15 22:00

windows内核情景分析学习笔记1

2、windows内核初探windows内核可分为两部分①核心层:包括硬件抽象层(HAL)和
shentao17792·2010-10-14 21:00

3、从汇编语言到Windows内核编程笔记(3)

Windows内核(一).sys放在Drivers目录下。运行在R0层。
·2010-10-14 20:00

王垠:完全用Linux工作及其后续

这篇文章也不是用来比较Linux和Windows内核效率,文件系统,网络服务的。我现在是作为
superslh·2010-10-14 09:29

王垠:完全用Linux工作及其后续

这篇文章也不是用来比较Linux和Windows内核效率,文件系统,网络服务的。我现在是作为
superslh·2010-10-14 09:29

2、从汇编语言到Windows内核编程笔记(2)

内核线程 在驱动中生成的线程一般是系统线程。系统线程所在的进程名为“System”。 NTSTATUS PsCreateSystemThread( OUT PHANDLE ThreadHandle, IN ULONG DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes OPTIONAL, IN HANDLE ProcessHan
·2010-10-13 23:00

一个linux狂人的语录(转载)--动力源泉

这篇文章也不是用来比较Linux和Windows内核效率,文件系统,网络服务的。
gl1987807·2010-10-13 08:00

1、从汇编语言到Windows内核编程笔记(1)

  汇编部分1、call 的本质相当于push+jmp,ret的本质相当于pop+jmp。 2、Windows中,不管哪种调用方式都是返回值放在eax中,然后返回。外部从eax中得到值。 3、Ebp总是被我们用来保存这个函数执行之前的esp的值。 4、把局部变量区域初始化成全0cccccccch,0cch实际是int 3 指令的机器码,这是一个断点中断指令。 5、任何一段中间不
·2010-10-12 20:00

通过MDL实现CR0的WP功能

我们知道,系统中一些重要的表项如SSDT是只读的,如果我们强行对其进行修改就会造成BSOD的严重后果。
laokaddk·2010-10-12 13:37

通过MDL实现CR0的WP功能

我们知道,系统中一些重要的表项如SSDT是只读的,如果我们强行对其进行修改就会造成BSOD的严重后果。
laokaddk·2010-10-12 13:37

TDI FILTER 网络过滤驱动完全解析

WINDOWS内核中,数据的通信载体是IRP包,如果希望截取到IRP数据包,当然必须生成核模块以驱动的方式加载
charlesprince·2010-10-06 22:00

寒江独钓-Windows内核安全编程总结

内核编程工具集安装:1:下载安装WDK2:编写程序(DrvierEntry必选),编译3:利用srvinstw.exe等工具安装服务,用netstart启动服务4:使用WinDbg,利用串口和虚拟机通信,将目标系统设置为调试模式启动,这样就可以调试系统了。需要设置WinDbg的内核符号表路径,这样可以实现源码级内核调试。 特殊宏:IN,OUT:输入输出__in_bcount(Length):输入,
Matrix_Designer·2010-10-04 15:00

Windows中系统调用的流程

Windows中系统调用的流程潘爱民,2010.9.24在《Windows内核原理与实现》一书,我曾经详细地解析了Windows应用程序发出的系统调用,经过ntdll.dll中的stub函数,再通过sysenter
songqingxi·2010-09-29 15:00

Windows中系统调用的流程

Windows中系统调用的流程潘爱民,2010.9.24在《Windows内核原理与实现》一书,我曾经详细地解析了Windows应用程序发出的系统调用,经过ntdll.dll中的stub函数,再通过sysenter
panaimin·2010-09-24 15:00
上一页 24 25 26 27 28 29 30 31 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他