pangshangji

摘要： CPU执行指令时可能会触发异常，例如除0错误，内存访问错误，这种称为“硬异常”。 还有一种可以通过软件模拟异常，通过调用windows API函数 RaiseException可以主动触发异常。 如下： RaiseException(EXCEPTION_INT_DIVIDE_BY_ZERO, EXC 阅读全文

摘要： 取自《Windows内核情景分析 上》 对于可能触发异常的代码可以使用SEH框架保护起来，然后去捕获异常、处理异常。 SEH框架是可以嵌套的。 对于SEH框架保护起来的代码，如果在代码中调用了某一个函数，这个函数中还存在SEH框架，那么这两个SEH框架从形式上看起来不是直观的嵌套，但是实质上却是嵌套 阅读全文

摘要： 健身要注意动作，了解动作的细节，不然使用自己不懂的动作盲目锻炼不仅无益，反而有害。 走路，坐姿要收腹，锻炼腹部力量。不要让腰部承担过重的负担。 面壁，举起手，趴在墙上，可以放松背部肌肉。 抬起脚，类似金鸡独立可以放松腰背部肌肉，如果闭上眼睛单脚站立，还可以锻炼平衡性。 阅读全文

摘要： 之前写过一篇通过Hook 拦截Windows 用户注销。 现在尝试通过Hook拦截Windows睡眠及休眠操作，测试在Windows虚拟机中进行，而虚拟机中没有休眠按钮，只有睡眠操作，但是不管是睡眠还是休眠都是调用的一个函数，只是参数不同。 通过搜索引擎可以查询到操作系统调用PowrProf动态库的 阅读全文

摘要： 在编程时经常使用EVENT事件对象，在写代码时使用如下代码 TCHAR guid[] = _TEXT("D14F8A13-DD1F-326E-5A05-9B906070B9AB"); HANDLE hEvent = CreateEvent(NULL, FALSE, FALSE, &guid[0]); 阅读全文

摘要： 写了一个小工具，可以通过Hook Winlogon进程主模块的导入表、延迟导入表来拦截对于User32!ExitWindowsEx函数的调用 整个步骤如下： 1、启动一个进程，注入DLL到Winlogon进程 (1) 因为winlogon进程是system级别进程，所以要让注入进程已管理员方式启动， 阅读全文

摘要： 内核态监控串口过滤驱动，实际中可以使用的几种应用场景设想： 1、如之前写的一篇监控串口数据的文章，可以用于方便调试，显示写到串口的数据和收到串口的数据，程序员可以使用这个程序方便调试。 2、可以虚拟串口，比如在开发过程中，程序员开发机器打开某个串口，但是电脑上不存在这个串口，也没有连接下位机串口设备 阅读全文

摘要： 在用户态创建一个事件，得到句柄，传入到驱动中，驱动中发生某件事情时触发此事件。 下面代码中在用户创建一个事件句柄，将句柄值通过DeviceIoControl传入驱动中，在驱动中调用ObReferenceObjectByHandle回去句柄对象的指针，然后创建一个系统线程，触发此对象。 用户态返回后等 阅读全文

摘要： 在编写代码时，比如一个函数中有四个操作步骤，分别为1、2、3、4。每一步都依赖前一步骤成功才能继续。 如果每一步都会生成资源，然后退出函数时需要释放。 如果在每一步之后都检查成功，失败就释放资源，那么第二步骤失败需要释放第一步骤资源，第三步骤失败需要释放第一、第二步骤资源，这样代码冗余，而且容易忘记 阅读全文

摘要： windows系统中内存页面有属性，有的属性可读可写，有的属性可读可执行，一般代码所处的页面是可读可执行的。 对于只读页面来说，即使是在内核态下(486CPU后引入)也无法直接写入，否则会引发系统异常。 在内核态下通过给CR0寄存器位16置0，就可以写入只读页面了。 DWORD old_cr0; _ 阅读全文