摘要:
惯了Vsiual Studio的兄弟们可能会因为先入为主的原因以为所有的调试器都应该像它那样,其实不然,当你安装Debugging Tools for Windows的时候,你将发现有两个系列的工具,一系列32位的工具和一系列64位的工具。这让人觉得和费解,因为在我们安装Microsoft Visu 阅读全文
posted @ 2017-11-01 22:43
鑫鑫1
阅读(512)
评论(0)
推荐(0)
摘要:
在 WIN64 上枚举内核模块的人方法:使用 ZwQuerySystemInformation 的第 11 号功能和枚举 KLDR_DATA_TABLE_ENTRY 中的 InLoadOrderLinks 双向链表;隐藏内核模块的通用方法是把指定的驱动对象从 KLDR_DATA_TABLE_ENTR 阅读全文
posted @ 2017-11-01 01:29
鑫鑫1
阅读(2377)
评论(0)
推荐(0)
摘要:
内核里操作文件 RING0 操作文件和 RING3 操作文件在流程上没什么大的区别,也是“获得文件句柄->读/写/删/改->关闭文件句柄”的模式。当然了,只能用内核 API,不能用 WIN32API。在讲解具体的代码之前,先讲解一下文件系统的流程,让大家对整个文件系统有个大概的了解。 假设我们要读写 阅读全文
posted @ 2017-11-01 01:16
鑫鑫1
阅读(928)
评论(0)
推荐(0)
摘要:
1.遍历链表。内核里有很多数据结构,但它们并不是孤立的,内核使用双向链表把它们像糖 葫芦一样给串了起来。所以遍历双向链表能获得很多重要的内核数据。举个简单的例子,驱 动对象 DriverObject 就是使用双向链表给串起来的,遍历这个链表就可以枚举内核里所有的驱动。示例代码如下 2.等待。这个等于 阅读全文
posted @ 2017-11-01 01:03
鑫鑫1
阅读(300)
评论(0)
推荐(0)
浙公网安备 33010602011771号