Fan Zhang

摘要： 试图用ubuntu apt-get源里的gcc-mingw32，后来发现编译有错误。 后来还是老老实实的下载RosBE for Unix，编译 并安装。 然后执行/usr/local/RosBE/RosBE.sh 或者执行/usr/local/RosBE/createshortcut.sh，在桌面创建快捷方式 阅读全文

摘要： from distutils.core import setup import py2exe, sys, os sys.argv.append('py2exe') setup( options = {'py2exe': {'bundle_files': 1}}, console = [XXXX.py'], zipfile = None, ) 阅读全文

摘要： 修改msys.bat 加入一行 set HOME=D:\zhangfan\HOME 有个自动从网络安装的命令：mingw-get 阅读全文

摘要： sxe 一般后面接ld XXXX,可以用来在加载XX模块时下断点。 例如：sxe ld user32.dll参考： http://stackoverflow.com/questions/1366051/windbg-setting-conditional-breakpoint 阅读全文

摘要： 0:000:x86> .exr -1 ExceptionAddress: 00000000013c354e (MyTest!foo+0x000000000000001e) ExceptionCode: c0000005 (Access violation) ExceptionFlags: 00000000 NumberParameters: 2 Para... 阅读全文

摘要： MMPTE其实是个union，它抽象了PDE，PTE，原型PTE等数据结构 kd> dt _MMPTE -r2 nt!_MMPTE +0x000 u : __unnamed +0x000 Long : Uint4B +0x000 Flush : _HARDWARE_PT... 阅读全文

摘要： PsGetCurrentThread() == Irp->Tail.Overlay.Thread A进程打开设备，返回一个句柄。B进程会duplicate这个句柄 阅读全文

摘要： MDL的本质就是记录一段虚拟地址所对应着的一系列的物理地址。MDL数据结构的结尾是一组PFN，记录着物理地址，相关宏是MmGetMdlPfnArray。初始化：一般用用IoAllocateMdl初始化，但是这个步骤并没有建立起虚拟地址和物理地址的联系。IoAllocateMdl会调用MmInitializeMdl用于初始化MDL，填充MDL的header。校验MDL对应的虚拟地址可读写：MmProbeAndLockPages建立与PFN的联系：MmBuildMdlForNonPagedPool，IoBuildPartialMdl,MmProbeAndLockPages建立新的虚拟地址映射：Mm 阅读全文

摘要： MSDN的文档只是说不能，但没有说清楚到底为啥。 微软的Doron在他的博客里提了一下，http://blogs.msdn.com/b/doronh/archive/2010/02/02/what-is-irql.aspx，但是还是没有说的太清楚。 其实使用分页内存的时候，如果访问Swap out的内存会触发0E号异常(KiTrap0E)，会间接调用MmAccessFault。出于同步要求,他... 阅读全文

摘要： 1. inline hook 黑客都喜欢用这个方法，很容易被杀毒软件查出来。 2. 在Device Stack中插入filter driver，也很容易被人看出来，并且你不能保证别人插在你之后。 3. 修改Dispatch函数的入口地址，例如bus hound就是这么干的。 阅读全文