Fan Zhang

摘要： 1. NTSYSAPI PIMAGE_NT_HEADERS NTAPI RtlImageNtHeader( IN PVOID ModuleAddress ); 阅读全文

摘要： bp ntdll!LdrLoadDll 在断点下输入： ed Kd_LDR_MASK ffffffff ed Kd_MM_MASK ffffffff ed Kd_DEFAULT_MASK ffffffff ed ntdll!ShowSnaps 1 ed ntdll!ShowErrors 1 下面是一段log [5e0,5e4] LDR: Recursive DLL load [5e0,5e4] ... 阅读全文

摘要： 在WDF程序可以通过WdfFdoQueryForInterface函数得到BUS_INTERFACE_STANDARD 而WDM驱动可以通过下面的函数获得 static NTSTATUS GetPCIBusInterfaceStandard( __in PDEVICE_OBJECT DeviceObject, __out PBUS_INTERFACE_STANDARD BusInterfac... 阅读全文

摘要： 对于Windows驱动来说，有三种选择。 1. AVStream ，依赖于ks.sys 2. Stream ，依赖于stream.sys（而它本身又依赖于ks.sys），该方法已被淘汰。 3. Port 一般来说需要使用AVStream小端口驱动。 阅读全文

摘要： drwtsn32.exe -i 阅读全文

摘要： 在64位模拟32位程序时候，会对C:\Windows\System32进行重定位，重定位到C:\Windows\SysWOW64。说起来真想骂人，搞了一下午才弄明白。 阅读全文

摘要： DbgBreakPoint 在64位下只能用这个，__asm int 3 用不了 阅读全文

摘要： Alt+F7 => C++ => Code Generation => Enable C++ Exception，选择”Yes with SHE Exceptions” 另外，用VS2005编译驱动的时候，如果使用SEH，可能会把kernel32.dll link到驱动里。这样讲导致驱动不能正常加载。 简单的办法是： Alt+F7 => Linker => Input => Additional ... 阅读全文

摘要： CTRL+K+F 或者 Alt+F8 阅读全文

摘要： DMA分为两大类，总线主DMA驱动(利用PCI卡上的DMA控制器)，从属DMA驱动(利用主板上的DMA控制器，例如软盘控制器，这类基本被淘汰)。这两类驱动每种又可以分为基于包的DMA驱动和通用缓冲区DMA驱动。 基于包的DMA驱动是，由用户程序进程发起读写请求。由于读写请求是虚拟内存连续，但物理内存不连续的，所以需要调用MapTransfer来完成这些转换。 另外一种是通用缓冲区DMA驱动，是在驱... 阅读全文