2019年6月8日
64位内核开发第六讲,IRQL中断级别了解
摘要: 中断级别IROL了解 一丶IRQL 1.了解什么是中断 中断就是产生的一个电信号.比如键盘.当按下就会产生电信号发送给CPU 而CPU就会停止当前处理.去执行电信号.他是根据IRQL中断级别来进行处理的. 如下图: 中断说白了就是个电信号.打断CPU执行的代码. 去调用中断处理函数. 此时CPU就处 阅读全文
posted @ 2019-06-08 14:49 iBinary 阅读(1678) 评论(0) 推荐(0)
64位内核开发第五讲,注册表编程.
摘要: 一 丶注册表编程 二 注册表简介 2.1 ring3注册表 在内核中我们的注册表只有两个 key 内核 对应ring3 \Registry\Machine\software HKEY_LOCAL_MACHINE \Registry\User\ HKEY_USERS 其它的三个是从这些内核中映射出来的 阅读全文
posted @ 2019-06-08 14:48 iBinary 阅读(1868) 评论(0) 推荐(1)
64位内核开发第四讲,文件操作.以及删除文件.
摘要: 文件操作,以及强删文件. 一丶文件操作 1.文件操作的几种方式 操作 创建文件/文件夹 读/写 拷贝 移动 删除 属性访问与设置 1.2 文件的表示 文件路径表示表格: 表示层 文件路径表示方法 Ring3 L"C:\HelloWorld.txt" Ring0 L"\??\C:\HelloWorld 阅读全文
posted @ 2019-06-08 14:47 iBinary 阅读(3947) 评论(1) 推荐(1)
64位内核开发第三讲,内核中字符串编程注意事项
摘要: windows内核下字符串操作详解 一丶内核字符串简介 1.1 简介 在Windows内核下 和 应用程序一样,驱动程序需要经常和字符串打交道。 其中包括了 ASCII 字符串丶宽字符串,还有DDK定义的 ANSI_STRING STRING UNICODE_STRING 等结构。下面就详细说明。 阅读全文
posted @ 2019-06-08 14:46 iBinary 阅读(1889) 评论(0) 推荐(1)
Windbg调试ring3跟Ring0.一起调试
摘要: #驱动第六讲_Windbg连续调试Ring3.与Ring0 ##一丶Windbg连调试 有时候我们调试一个程序.可以使用Windbg.但是如果我们想一个Windbg 调试一个Ring3.并且在调试一个Ring0程序应该怎么做. 第一种方法: 虚拟机安装Windbg.并且调试Ring3. 我们的主 第 阅读全文
posted @ 2019-06-08 14:46 iBinary 阅读(926) 评论(0) 推荐(0)
内核下的调试与反调试
摘要: #反调试与反反调试 ##一丶反调试的几种方法 ###1.DebugPort端口清零 debugport是在EPROCESS结构中的.调试时间会通过DebugPort端口将调试事件发送给ring3进行调试的.如果设置为0.则ring3就无法进行调试了 也就是说你不能单步了.等相关调试操作了. 如果做反 阅读全文
posted @ 2019-06-08 14:45 iBinary 阅读(2679) 评论(0) 推荐(0)
Ark技术,查看SSDT表与showSSDT表
摘要: #SSDt表与ShadowSSDT表的查看. ##一丶SSDT表 ###1.什么是SSDT表 SSDT表示系统服务表,我们ring3调用的很多函数都会调用这个SSDT表 ###2.查看步骤 1.使用 x命令 前提需要加载好符号. x nt!kes*des*table* KeServiceDescri 阅读全文
posted @ 2019-06-08 14:44 iBinary 阅读(2474) 评论(0) 推荐(1)
Windbg的使用.以及命令
摘要: ##一丶驱动的调试. 编写驱动免不了调试.所以这里介绍一下WinDbg的常用命令. ###1.线程 命令 作用 ~* 显示所有线程 ~. 显示当前活动线程 ~# 显示当前异常线程 ~ num 显示第num个线程. ~ num s 切换到第num个线程 ~*kb 显示所有线程的栈 额外命令 命令 作用 阅读全文
posted @ 2019-06-08 14:43 iBinary 阅读(1463) 评论(0) 推荐(1)
64位内核开发第二讲.驱动框架补充,驱动如何运行的。
摘要: ##一丶驱动是如何运行的 ###1.服务注册驱动 我们编写驱动.一定要知道驱动是如何运行的 首先在我们安装一个驱动的时候,会创建一个服务.(注册表) 在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrvNmae 最后一个是是你驱动的名字 阅读全文
posted @ 2019-06-08 14:42 iBinary 阅读(1679) 评论(1) 推荐(0)
64位内核开发第一讲,驱动框架.
摘要: 驱动框架介绍 1.应用程序3环到0环的框架 1.1 3环到0环的驱动框架. 首先是我们的3环API API -> 封装数据跟命令 ->调用kerner32或者ntdll的函数 ->进行封装,传送给IRP结构体 ->调用驱动 这里接触了一个新的概念.IRP .IRP结构体其实是3环的数据以及命令.进行 阅读全文
posted @ 2019-06-08 14:41 iBinary 阅读(2659) 评论(1) 推荐(3)