2013年8月17日
使用Windbg调试内核
摘要: Windbg是微软开发的免费源码级调试工具。Windbg可以用于Kernel模式调试和用户模式调试,还可以调试Dump文件。1.从http://www.microsoft.com/whdc/devtools/debugging/installx86.mspx下载Install Debugging T... 阅读全文
posted @ 2013-08-17 11:45 vcerror 阅读(171) 评论(0) 推荐(0)
Zw函数与Nt函数的分别与联系
摘要: in ring3:lkd> ? ntdll!ZwOpenProcessEvaluate expression: 2089999739 = 7c92dd7blkd> ?ntdll!NtOpenProcessEvaluate expression: 2089999739 = 7c92dd7b可以看到,在... 阅读全文
posted @ 2013-08-17 11:36 vcerror 阅读(856) 评论(0) 推荐(0)
SSDT
摘要: SSDT就是一张存于系统内核中的一张表。这个表的作用就是指向一些函数的地址。比如我们调用OPENPROCESS,最终会调用SSDT表中的122号服务。哈~~ 阅读全文
posted @ 2013-08-17 10:59 vcerror 阅读(209) 评论(0) 推荐(0)
SSDT
摘要: SSDT就是一张存于系统内核中的一张表。这个表的作用就是指向一些函数的地址。比如我们调用OPENPROCESS,最终会调用SSDT表中的122号服务。哈~~ 阅读全文
posted @ 2013-08-17 10:59 vcerror 阅读(173) 评论(0) 推荐(0)
Rootkit之SSDT hook(通过CR0)
摘要: CR0当中有一个写保护位,是保护内存不可写属性的,为了能够写入内核,只能把它的保护给咔嚓掉了,不过……如果做完了手脚但不还原写保护属性的话,极有可能会BOSD./=====================================================================... 阅读全文
posted @ 2013-08-17 10:25 vcerror 阅读(229) 评论(0) 推荐(0)
2013年8月5日
直接用编译器按ctrl+F5运行和双击运行结果不一样
摘要: 是因为进程权限的问题,需要添加下面的代码:BOOL EnableDebugPrivilege(){HANDLE hToken;BOOL fOk=FALSE;if(OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES,&hToken)... 阅读全文
posted @ 2013-08-05 16:33 vcerror 阅读(291) 评论(0) 推荐(0)
直接用编译器按ctrl+F5运行和双击运行结果不一样
摘要: 是因为进程权限的问题,需要添加下面的代码:BOOL EnableDebugPrivilege(){HANDLE hToken;BOOL fOk=FALSE;if(OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES,&hToken)... 阅读全文
posted @ 2013-08-05 16:33 vcerror 阅读(153) 评论(0) 推荐(0)
2013年8月1日
驱动编译的时候注意编译工程选项
摘要: 右键要编译的驱动工程会看到该工程配置的有哪些工程类别,比如WXP checkedWNET checked,在编译的时候要选对 阅读全文
posted @ 2013-08-01 11:40 vcerror 阅读(155) 评论(0) 推荐(0)
驱动编译的时候注意编译工程选项
摘要: 右键要编译的驱动工程会看到该工程配置的有哪些工程类别,比如WXP checkedWNET checked,在编译的时候要选对 阅读全文
posted @ 2013-08-01 11:40 vcerror 阅读(159) 评论(0) 推荐(0)
'ddkbuild.cmd' 不是内部或外部命令,也不是可运行的程序
摘要: 转自VC错误:http://www.vcerror.com/?p=49问题描述:错误:'ddkbuild.cmd' 不是内部或外部命令,也不是可运行的程序解决方法:详细的解决方法可参考VC错误:http://www.vcerror.com/?p=49 阅读全文
posted @ 2013-08-01 11:16 vcerror 阅读(185) 评论(0) 推荐(0)