|
[原创]nt到win7的防火墙研究之TDI
我给个讲NPI的链接:http://rootkit.com/newsread.php?newsid=952 |
|
[原创]nt到win7的防火墙研究之TDI
1、需要完成历程是因为在派遣历程中,需要获取的信息还不存在,必须把IRP发下去让底层设备填充,然后等IRP回卷上来再截获。 2、卸载例程里容易蓝是因为当时可能存在还没有回卷的IRP,这些IRP回卷到你的设备后,发现当初注册的完成历程已经没有了,甚至连设备都被删除了,当然就蓝了。处理好一点就没事了。 3、骂微软骂得很过瘾,爽 |
|
[求助]feof()的底层实现
fead()是调用了ReadFile实现,但不是简单的封装。 fead用CriticalSection来同步一个缓冲区,读出的数据其实是从这个缓冲区拷贝出去的,如果这个缓冲区里没东西了才调用ReadFile去读一大块进来。 |
|
[求助]关于《Windows驱动开发技术详解》的源码问题
可能是因为RegEnumTest函数还没有跑完。DbgPrint一下 |
|
[求助]如何枚举系统已安装的软件,并得到软件安装的目录呢?
从注册表里找啦 |
|
[求助]有没有什么通用的方法获取下一个eprocess的地址和进程的退出时间...
ZwQueryInformationProcess不能获取退出时间吧 |
|
[求助]有没有什么通用的方法获取下一个eprocess的地址和进程的退出时间...
ZwQuerySystemInformation遍历进程,功能号:SystemProcessInformation 退出时间我只会硬编码 |
|
[求助]关于char *的一个问题
char *c = "hello"; 意思是c指向字符串常量,c是指针,不是数组,这是c语言基础。 至于字符串常量到底是不是真的常量,就要看对应的页面属性了,这个依编译器高兴而定,如果被放到了只读区里,当然改不了了。 DWORD dwOldProtect; VirtualProtect( c, 4096,PAGE_READWRITE ,&dwOldProtect ) *c = 't'; 先把页面属性改掉,这样就可以改了 |
|
[求助]关于DLL注入
把exe改了吧,开始先来个LoadLibrary试试呢? |
|
[求助]写了个键盘过滤驱动挂在kbdclass0设备上,为什么关机的时候系统不能完全关闭呢?郁闷中
以前我做这东西的时候也是关不了机。。。 终于把代码从硬盘翻来了,如下: 挂界完设备后注册个关机通知,这样就能处理IRP_MJ_SHUTDOWN了 IoRegisterShutdownNotification(device); 在IRP_MJ_SHUTDOWN里调用卸载例程,把驱动卸了,就能关机了: NTSTATUS KJShutDown(IN PDEVICE_OBJECT DeviceObject,IN PIRP Irp ){ DriverUnload(DeviceObject->DriverObject); return STATUS_SUCCESS; } 当然,我的卸载例程里不是采用的“按任意键后退出驱动”的方法,因为这个时候没人来按任意键。所以需要把挂起的IRP取消了。 这么处理就OK了。 |
|
|
|
[求助]写了个键盘过滤驱动挂在kbdclass0设备上,为什么关机的时候系统不能完全关闭呢?郁闷中
都说了,创建好设备后先IoRegisterShutdownNotification注册一下,然后在IRP_MJ_SHUTDOWN的派遣例程里把没完成的IRP取消了。 |
|
[求助]写了个键盘过滤驱动挂在kbdclass0设备上,为什么关机的时候系统不能完全关闭呢?郁闷中
创建好设备后先IoRegisterShutdownNotification注册一下,然后在IRP_MJ_SHUTDOWN的派遣例程里把没完成的IRP取消了。 |
|
[求助][讨论]老罗书中的一个问题,关于内存映射文件在进程间贡献数据
ax == IDC_TXT 为了判断接到WM_COMMAND消息是由于IDC_TXT控件而不是别的控件。 && lpMemory 是为了谨慎,确定该地址有效。 |
|
[求助]内联汇编 怎么判断一个指针是否有效?
IsBadReadPtr |
|
[求助]一个键盘记录的问题
试下先Duplicate一份DLL的句柄到别的进程里去呢? |
|
[求助]Hook ZwCreateSection蓝屏 请大侠指点
晕…… InterlockedExchange((PLONG)(address + 2),MyZwCreateSection); 你替换ZwCreateSection函数体里的指令干嘛…… |
|
[求助]位数的问题
都说了是EM_LIMITTEXT消息 |
|
[求助]ZwQueryValueKey 蓝屏
status = ZwQueryValueKey(hKey, &key_name, KeyValuePartialInformation, &keyInfo, ulLength, &ulLength); 楼主要仔细~ |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值