随笔分类 - 内核开发
摘要:具体内容微软官方文档上都有:https://learn.microsoft.com/zh-cn/windows-hardware/drivers/debugger/performing-local-kernel-debugginghttps://learn.microsoft.com/zh-cn/w
阅读全文
摘要:原文发表于百度空间,2011-04-07 该函数与ring3的枚举窗口函数有关,原型如下: 要在驱动中调用此函数的童鞋们要注意下: (1)不能在System进程和smss进程中调用(比如DriverEntry啥的),Attach到别的进程也不行,原因与Session Space有关,否则你将会得到一
阅读全文
摘要:原文发表于百度空间,2010-10-07 由于KeUserModeCallback的工作原理,对调用者线程和进程有以下要求: 1、调用者线程不能是纯内核线程(由PsCreateSystemThread创建的线程) 2、调用者线程必须在其所属进程中调用KeUserModeCallback 3、调用者进
阅读全文
摘要:原文发表于百度空间及看雪论坛,2010-09-12 看雪论坛地址:https://bbs.pediy.com/thread-120296.htm Win7的内核新增了一系列带有Tag参数的对象增加引用(Refrence)/减少引用(Derefrence)函数,更易于找出对象使用中的“泄漏”(即Ref
阅读全文
摘要:原文发表于百度空间,2010-08-06 - NtGlobalFlagsFLG_STOP_ON_EXCEPTION 0x00000001FLG_SHOW_LDR_SNAPS 0x00000002FLG_DEBUG_INITIAL_COMMAND 0x00000004FLG_STOP_ON_HUNG_
阅读全文
摘要:原文发表于百度空间,2010-04-05 这也许是我这个假期唯一做的跟Code有关的事了,已经一个多月没写代码了~~问题是这样的,某同学A,在自己的工程中使用了PsVoid的部分驱动源码(感谢炉子开源~~),提到里面的IrpCreateFile函数在Win7下始终会蓝屏,希望我能帮忙解决一下。于是,
阅读全文
摘要:原文发表于百度空间及看雪论坛,2010-01-10 看雪论坛地址:https://bbs.pediy.com/thread-104918.htm 代码及附件可到这里下载 ring0调用ring3早已不是什么新鲜事,除了APC,我们知道还有KeUserModeCallback.其原型如下: 但是对于这
阅读全文
摘要:原文发表于百度空间,2010-01-02 玩过Shadow SSDT Hook的都知道,在System进程中是无法访问win32k.sys的内存空间的,要想访问必须切换到csrss进程或者任意一个GUI进程。问题一:为什么System进程里无法访问win32k.sys呢?某同学的说法,"在Syste
阅读全文
摘要:原文发表于百度空间,2009-09-17 相当老的话题,大约一年前就写过这个东西了,不过那时候知识比较有限,也不了解内核,因此实现得很粗浅,现在再写一下,权当是对这个老问题的总结吧。先谈谈正规DLL的隐藏方法,这里说的正规DLL,是指用LoadLibrary以正常方式加载的DLL。一、从PEB的Ld
阅读全文
摘要:原文发表于百度空间,2009-07-14 标准的驱动与ring3的通信过程是这样的:驱动中创建设备,并为设备创建符号链接,ring3用CreateFile打开符号链接得到设备句柄,然后DeviceIoControl发送ControlCodeDeviceIoControl的内容被封装成IRP到达Dev
阅读全文
摘要:原文发表于百度空间,2009-07-10 基础篇里说的那些东西搞完以后,任何正常的位置都找不到我们的Driver了,此时相应的手段基本上只剩下暴搜PE镜像或暴搜DriverObject了。而且,基础篇讲的那些东西,因为都是M$定好的一些格式和位置,代码怎么写都差不多,固定的路子而已。而抹PE镜像或抹
阅读全文
摘要:原文发表于百度空间,2009-07-09 完整介绍隐藏驱动的方法,部分内容属于冷饭热炒,炒一炒比较好消化~~先说一下,以下数据和结构信息来自Windbg+WinXP SP2一、从PsLoadedModuleList消失PsLoadedModuleList是系统中一个用于连接所有已加载驱动的双向链表(
阅读全文
摘要:原文发表于百度空间,2009-07-08 还是从邪恶的源头--隐藏说起,以隐藏Driver为例,当我们从PsLoadedModuleList、\Driver对象目录、TypeList都消失以后,要怎么去找到我们这个Driver呢?这时,很多ARK的方法就是暴搜,暴搜DriverObject(比如Sy
阅读全文
摘要:原文发表于百度空间,2009-07-06 以下内容来自www.rootkit.comDriver Hidding based on the following methods:1.removing module form PsLoadedModuleList(that passed some old
阅读全文
摘要:原文发表于百度空间,2009-07-02 快一个月没写东西了,随便写点~~ StealthCode检测似乎是RootkitUnhooker独有的功能,主要是检测那些无主的可执行代码片段。比如一些放在Pool中的代码,或者驱动中的代码但驱动隐藏了使得RKU无法找到,就认为是StealthCode了。R
阅读全文
摘要:原文发表于百度空间及看雪论坛,2009-05-13 看雪论坛地址:https://bbs.pediy.com/thread-89708.htm 最近很忙,也很懒,发点以前写的东西吧~学习了一下古老的CsrssWalker,写点笔记~~在Csrss.exe中,保存着所有Win32子系统进程的进程信息,
阅读全文
摘要:原文发表于百度空间,2009-05-13 Idle进程和System进程一样,也是系统中的一个特殊进程,严格讲它不算是一个进程,但是它有自己的EPROCESS,并有一个IdleThread.若说它算一个进程,它的进程空间、句柄表、Token等却又和System进程一样,即共享了System的内核数据
阅读全文
摘要:原文发表于百度空间,2009-04-04 在创建句柄时,操作过程并不受StrictFIFO标志的影响.而在销毁句柄时,StrictFIFO标志则决定了如何放置刚释放的这个FreeHandle.对于普通进程的句柄表而言,StrictFIFO为0,那么销毁该句柄时,Free指针所指向的队列头是Handl
阅读全文
摘要:原文发表于百度空间,2009-04-04 分析了Windows句柄表的分配算法之后,综合WRK1.2中的代码以及Window XP下的实践,继续分析句柄的分配算法~~为了便于描述,先定义几个概念:FreeHandle即尚未被使用的Handle,FreeHandleList是由FreeHandle依靠
阅读全文
摘要:原文发表于百度空间,2009-03-31 理论结合实践,这是我一贯的学习方法~~实验目的:以实验的方式观察PspCidTable的变化,从中了解Windows句柄表的分配过程.实验器材:Windbg,RunIt(一个可控的不断创建线程的程序),DebugView知识回顾: 如图所示,句柄表的结构根据
阅读全文
浙公网安备 33010602011771号