摘要：最近公司做一个远程桌面控制的软件，其中用到了API hook的技术，由于之前没有接触过此类技术，刚刚开始的时候就想按照《Windows核心编程》中介绍的修改IAT表的方法实现API hook，但是项目中的一个工程中需要创建第三方的工具的进程，此种方法可以注入现有的工程，但是第三方工具我没有源代码，由 阅读全文

摘要：拦截win32 API 调用对于多数w indows开发人员来说都一直是很有挑战性的课题，我承认，这也是我感兴趣的一个课题。钩子机制就是用一种底层 技术控制特定代码段的执行，它同时提供了一种直观的方法，很容易就能改变操作系统的行为，而并不需要涉及到代码。这跟一些第三方产品类似。 许多系统都通过拦截技 阅读全文

摘要：1、字符串1）两种字符串，一种是char型，记录ansi字符集。每个字符一个字节。以0标志结束。在KdPrint中用%s输出。宽字符型，wchar_t，描述unicode字符集的字符串，每个字符两个字节，以0标志结束。通过L来体现。在KdPrint中用%S输出。如CHAR *string = "He... 阅读全文

摘要：1.ASCII字符串和宽字符串打印一个ASCII字符串：CHAR* string = “Hello”;KdPrint((“%s\n”, string));//s为小写打印一个宽字符字符串WCHAR* string = L”Hello”;KdPrint((“%S\n”,string));//s为大写2... 阅读全文

摘要：在内核驱动程序中，可以通过PsGetCurrentProcess函数来获取当前调用驱动的进程的EPROCESS结构的地址．很多文章都说在EPROCESS结构的0x174偏移处存放着进程名．这里提供另外一种方法来获取这个进程名．思路如下：驱动程序的加载函数DriverEntry是运行在System进程... 阅读全文

摘要： 阅读全文

摘要：1.安装VS20082.安装WDK7600，安装到C:\WinDDK下载地址：http://download.microsoft.com/download/4/A/2/4A25C7D5-EFBE-4182-B6A9-AE6850409A78/GRMWDK_EN_7600_1.ISO3. 环境变量 ，... 阅读全文