穷到底 - 博客园

2016年9月12日

摘要：从R3 ，到磁盘 1：kernel32 WriteFile 1）挺惊讶的，符号好使了，前面大概4条判断，根据句柄判断要写到什么地方，一共有4个地方可能要去， stdin stdout stderr 还有最后一个控制台 2）然后就是一个异步的判断如果是异步，那么整理信息，然后调用NtWrite 阅读全文

posted @ 2016-09-12 20:49 穷到底阅读(2400) 评论(0) 推荐(0)

哎

摘要：以前，感觉写ReactOS的那帮人很牛，他们自己弄出了一套NT内核，通过最近的微软函数的分析我发现，其实想做，真的不难，难的是，熟练，快速，快速反汇编，快速分析，快速得到大致流程，然后快速编码，而且通过分析微软函数的功能，我发现ReactOS和微软的东西，流程上不是完全一样。阅读全文

posted @ 2016-09-12 20:34 穷到底阅读(118) 评论(0) 推荐(0)

IRP FLAGS

摘要： IRP所有标识位的含义，是 _IRP . flags 这个成员阅读全文

posted @ 2016-09-12 20:13 穷到底阅读(1035) 评论(0) 推荐(0)

_IRP struct

摘要： Windows XP x86 阅读全文

posted @ 2016-09-12 19:42 穷到底阅读(364) 评论(0) 推荐(0)

FILE_OBJECT

摘要： https://msdn.microsoft.com/en-us/library/windows/hardware/ff545834(v=vs.85).aspx The FILE_OBJECT structure is used by the system to represent a file o 阅读全文

posted @ 2016-09-12 17:28 穷到底阅读(740) 评论(0) 推荐(0)

判断Paging File 的方法

摘要：当前环境，MiniFilter 1：FsRtlIsPagingFile 参数是一个 FileObject 2：判断操作标识 SL_OPEN_PAGING_FILE FlagOn 宏可以直接做到，传入参数，是一个 Iopb->OperationFlags 3：还有一个位置就是在注册回调的时候，注册 F 阅读全文

posted @ 2016-09-12 15:24 穷到底阅读(1069) 评论(0) 推荐(0)

IoGetTopLevelIrp

摘要：学习写驱动，其实，挺无聊，但是也挺有意思的 IoGetTopLevelIrp 今天在看一个文件系统过滤驱动的时候，看到这个函数，它是干嘛的，为什么会有这么个东西 https://msdn.microsoft.com/library/windows/hardware/ff548405 MSDN果真古之阅读全文

posted @ 2016-09-12 15:01 穷到底阅读(845) 评论(0) 推荐(0)

2016年9月9日

哎

摘要：前言：和一个同事（跟自己关系不错的男同事）聊天，聊崩了，我俩关系瞬间就到底了。我想和他说的话，我实在不愿意再直接跟他说了：我只想问，你希望你身边的人，是说人话不办人事的，还是不说人话但办人事的。我崩了，你就崩了，我不崩，你就没完没了，这种需要我来维护的二人关系，一旦我不维护了，直接崩了，这种关阅读全文

posted @ 2016-09-09 01:59 穷到底阅读(171) 评论(0) 推荐(0)

2016年9月8日

CreateProcess

摘要： Windows 进程创建完整过程（除去细节）当前流程是分析WinXP x86得到的，在最新版本Windows上不一定正确，但是可以做一个参考，由于我这里符号并不全，所以导致我这里有些东西看到的可能是错误的，误导了我，然后我就做了个错误的记录，有缘人如果看到的话，可以帮我指正一下，我会很高兴。阅读全文

posted @ 2016-09-08 17:59 穷到底阅读(3611) 评论(0) 推荐(0)

2016年9月7日

咱们两个

该文被密码保护。阅读全文

posted @ 2016-09-07 04:27 穷到底阅读(0) 评论(0) 推荐(0)

Nemesis

报应来了

公告