驱动 - 随笔分类 - yifi

内核模块信息

摘要：typedef struct _LDR_DATA_TABLE_ENTRY32S { LIST_ENTRY32 InLoadOrderLinks; LIST_ENTRY32 InMemoryOrderLinks; LIST_ENTRY32 InInitializationOrderLinks; ULONG DllBase; ULONG EntryPoint... 阅读全文

posted @ 2017-03-23 16:59 yifi 阅读(215) 评论(0) 推荐(0)

摘要：/*************************************************************************************** * AUTHOR : yifi * DATE : 2016-1-20 * MODULE : EnumKernelModules.H * * IOCTRL Sample Driver * * Description: ... 阅读全文

posted @ 2017-03-09 21:26 yifi 阅读(949) 评论(0) 推荐(0)

DNS解析

摘要：//****************************************************************************************/ //获取DNS #include "DNS.h" //全局变量 PDNSADDRANDURL global_pwsadata; NTSTATUS DriverEntry( PDRIVER_OBJ... 阅读全文

posted @ 2017-03-09 21:13 yifi 阅读(1066) 评论(0) 推荐(0)

遍历对象目录

摘要：/*************************************************************************************** * AUTHOR : yifi * DATE : 2016-10-8 * MODULE : ObjectDir.C * * Command: * Source of IOCTRL Sample Driver... 阅读全文

posted @ 2017-03-09 21:09 yifi 阅读(1023) 评论(0) 推荐(0)

驱动加载类

摘要：需要管理员权限阅读全文

posted @ 2017-03-09 20:42 yifi 阅读(322) 评论(0) 推荐(0)

EPROCESS

摘要：在内核中进程是靠EPROCESS来识别的 dt _EPROCESS fffffa801aaecb30 nt!_EPROCESS +0x000 Pcb : _KPROCESS +0x160 ProcessLock : _EX_PUSH_LOCK +0x168 CreateTime : _LARGE_INTEGER 0x1d298d... 阅读全文

posted @ 2017-03-09 20:38 yifi 阅读(1125) 评论(0) 推荐(0)

Windows 套接字I/O模型

摘要：一、套接字模型 Winsock以两种模式执行I/O操作：阻塞和非阻塞。在阻塞模式下，执行 I/O 的 Winsock 调用（如 send 和 recv）直到操作完成才返回。在非阻塞模式下，Winsock 函数会立即返回。 1）阻塞模式套接字创建时，默认工作在阻塞模式下。例如，对 recv 函数阅读全文

posted @ 2017-03-01 09:43 yifi 阅读(788) 评论(0) 推荐(0)

防止Dll注入

摘要：http://www.cnblogs.com/yifi/p/6480704.html 利用LoadImageNotify回调拦截DLL加载，1.这个时候写内存有可能导致死锁；2.DLL被拦截一次之后，重启前再也无法加载最简单的方法，拦截IRP_MJ_CREATE，发现带FILE_EXECUTE属性阅读全文

posted @ 2017-02-28 20:49 yifi 阅读(1770) 评论(0) 推荐(0)

利用挂钩KeUserModeCallBack实现防止Dll注入

摘要：http://bbs.pediy.com/thread-145687.htm http://www.pediy.com/kssd/pediy11/104918.html KeUserModeCallback的基础知识我们都知道一个普通的系统调用，它的过程大概是这样的(以OpenProcess为例)：阅读全文

posted @ 2017-02-28 20:13 yifi 阅读(2100) 评论(0) 推荐(0)

Windows进程/线程创建过程

摘要：参考链接:http://www.cnblogs.com/LittleHann/p/3458736.html 创建一个Windows进程，是由操作系统进行3各部分执行组成 1.客户的Windows库的Kernel32.dll 2.Windows执行 3.Windows子系统进程（Csrss.exe）阅读全文

posted @ 2017-02-27 20:54 yifi 阅读(2049) 评论(0) 推荐(1)

隐藏驱动

摘要：1 #include 2 3 typedef unsigned long DWORD; 4 5 typedef struct _KLDR_DATA_TABLE_ENTRY { 6 LIST_ENTRY InLoadOrderLinks; 7 PVOID ExceptionTable; 8 ULONG ExceptionTableSize; 9 ... 阅读全文

posted @ 2017-02-27 15:25 yifi 阅读(621) 评论(0) 推荐(0)

Everything 搜索文件

摘要：USN是Update Service Number Journal or Change Journal的英文缩写，直译为“更新序列号”，是对NTFS卷里所修改过的信息进行相关记录的功能。当年微软发布Windows 2000时，建立NTFS 5.0的同时，加入了一些新功能和改进了旧版本的文件系统，为它阅读全文

posted @ 2017-02-20 16:37 yifi 阅读(650) 评论(0) 推荐(0)

火绒注入

摘要：http://www.mengwuji.net/thread-6765-1-1.html 进程加载模块顺序： ModLoad: 00f60000 00f80000 C:\Users\YIFI\Desktop\AVL\Debug\AVL.exe // 自己本身ModLoad: 77700000 77 阅读全文

posted @ 2017-02-11 15:42 yifi 阅读(4023) 评论(0) 推荐(1)

微软面试100 题题解

摘要：1 /* 2 Name: 在二元树中找出和为某一值的所有路径（树） 3 Copyright: 4 Author: yifi 5 Date: 27/11/16 17:10 6 Description: 7 */ 8 9 #include <bits/stdc++.h> 10 11 using name 阅读全文

posted @ 2016-11-23 22:39 yifi 阅读(225) 评论(0) 推荐(0)

二元查找树转变成排序的双向链表（树）

摘要：/* Name: 二元查找树转变成排序的双向链表（树） Copyright: Author: yifi Date: 23/11/16 17:06 Description: */ #include using namespace std; typedef struct _BSTreeNode{ int m_Value; _BST... 阅读全文

posted @ 2016-11-23 17:22 yifi 阅读(164) 评论(0) 推荐(0)

筆試

摘要：1. 利用宏定義一個8bit的4 5 6 位 #define ClearBitFun(x) ( x &= (~((0x1 << 3) | (0x1 << 4) | (0x1 << 5)))) 當時差點沒讀懂題英文傷不起 2.忘了 3.考察指針 void Sub_1(char* str){ str 阅读全文

posted @ 2016-10-19 11:33 yifi 阅读(179) 评论(0) 推荐(0)

PE注入

摘要：1 // PE注入.cpp : 定义控制台应用程序的入口点。 2 // 3 4 #include "stdafx.h" 5 6 #include <windows.h> 7 8 #include <tlhelp32.h> 9 10 #include <process.h> 11 12 #includ 阅读全文

posted @ 2016-10-11 20:12 yifi 阅读(322) 评论(0) 推荐(0)

内核网络通信

摘要：http://www.mengwuji.net/thread-3040-1-1.html 阅读全文

posted @ 2016-10-08 20:15 yifi 阅读(260) 评论(0) 推荐(0)

Ring0创建进程

只有注册用户登录后才能阅读该文。

posted @ 2016-07-18 21:23 yifi 阅读(17) 评论(0) 推荐(0)

驱动开发之进程对抗