LYSHARK

摘要： 在笔者之前的文章`《驱动开发：内核特征码搜索函数封装》`中我们封装实现了特征码定位功能，本章将继续使用该功能，本次我们需要枚举内核`LoadImage`映像回调，在Win64环境下我们可以设置一个`LoadImage`映像加载通告回调，当有新驱动或者DLL被加载时，回调函数就会被调用从而执行我们自己的回调例程，映像回调也存储在数组里，枚举时从数组中读取值之后，需要进行位运算解密得到地址。 阅读全文

摘要： 在笔者上一篇文章`《驱动开发：Win10枚举完整SSDT地址表》`实现了针对`SSDT`表的枚举功能，本章继续实现对`SSSDT`表的枚举，ShadowSSDT中文名`影子系统服务描述表`，SSSDT其主要的作用是管理系统中的图形化界面，其`Win32`子系统的内核实现是`Win32k.sys`驱动，属于GUI线程的一部分，其自身没有导出表，枚举`SSSDT`表其与`SSDT`原理基本一致。 阅读全文