[求助]驱动和一般程序事件通信的问题-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
草屋居士雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 124 粉丝 0 关注私信	草屋居士 2 楼 KeInitializeEvent不需要设置name吧 2008-11-16 18:20 0
RYYMike 雪币： 261 活跃值： (32) 能力值： ( LV7，RANK：100 ) 在线值：发帖 28 回帖 92 粉丝 0 关注私信	RYYMike 2 3 楼 KeInitializeEvent里不是有个PKEVENT结构么，这个结构里应该有类似name的结构成员吧？如果没有，怎么得到应用程序注册的事件呢？ 2008-11-17 16:50 0
RYYMike 雪币： 261 活跃值： (32) 能力值： ( LV7，RANK：100 ) 在线值：发帖 28 回帖 92 粉丝 0 关注私信	RYYMike 2 4 楼在WDM里用记蚀本找了半天，找到这个typedef struct _KEVENT { DISPATCHER_HEADER Header; } KEVENT, PKEVENT, RESTRICTED_POINTER PRKEVENT;和 typedef struct _DISPATCHER_HEADER { UCHAR Type; UCHAR Absolute; UCHAR Size; UCHAR Inserted; LONG SignalState; LIST_ENTRY WaitListHead; } DISPATCHER_HEADER;有没有说下Absolute,Inserted和Type,SignalState,WaitListHead什么意思？ 2008-11-17 17:44 0
jinjing 雪币： 182 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 34 回帖 103 粉丝 0 关注私信	jinjing 5 楼我推荐楼主还是装个windbg吧！，在kernel debug中查看KEVENT就简单多了！！！！ 2008-11-17 18:13 0
jinjing 雪币： 182 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 34 回帖 103 粉丝 0 关注私信	jinjing 6 楼例如下面的截屏！！ 0: kd> dt _Kevent ntdll!_KEVENT +0x000 Header : _DISPATCHER_HEADER 0: kd> dt _DISPATCHER_HEADER ntdll!_DISPATCHER_HEADER +0x000 Type : UChar +0x001 Absolute : UChar +0x002 Size : UChar +0x003 Inserted : UChar +0x004 SignalState : Int4B +0x008 WaitListHead : _LIST_ENTRY 2008-11-17 18:37 0
草屋居士雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 124 粉丝 0 关注私信	草屋居士 7 楼 lz只是想得到在驱动中获得应用程序的事件吗？？应用程序中 createevent 然后把得到的handle用DeviceIoControl传到驱动里面驱动程序中先获得传进来的handle，调用ObReferenceObjectByHandle把这个handle转成一个事件对象。。。。以后驱动中也可以kesetevent或keWaitForSingleObject这个对象了 2008-11-17 19:25 0
RYYMike 雪币： 261 活跃值： (32) 能力值： ( LV7，RANK：100 ) 在线值：发帖 28 回帖 92 粉丝 0 关注私信	RYYMike 2 8 楼谢谢大家帮忙了，谢谢！ 2008-11-17 21:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
草屋居士雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 124 粉丝 0 关注私信	草屋居士 2 楼 KeInitializeEvent不需要设置name吧 2008-11-16 18:20 0
RYYMike 雪币： 261 活跃值： (32) 能力值： ( LV7，RANK：100 ) 在线值：发帖 28 回帖 92 粉丝 0 关注私信	RYYMike 2 3 楼 KeInitializeEvent里不是有个PKEVENT结构么，这个结构里应该有类似name的结构成员吧？如果没有，怎么得到应用程序注册的事件呢？ 2008-11-17 16:50 0
RYYMike 雪币： 261 活跃值： (32) 能力值： ( LV7，RANK：100 ) 在线值：发帖 28 回帖 92 粉丝 0 关注私信	RYYMike 2 4 楼在WDM里用记蚀本找了半天，找到这个typedef struct _KEVENT { DISPATCHER_HEADER Header; } KEVENT, PKEVENT, RESTRICTED_POINTER PRKEVENT;和 typedef struct _DISPATCHER_HEADER { UCHAR Type; UCHAR Absolute; UCHAR Size; UCHAR Inserted; LONG SignalState; LIST_ENTRY WaitListHead; } DISPATCHER_HEADER;有没有说下Absolute,Inserted和Type,SignalState,WaitListHead什么意思？ 2008-11-17 17:44 0
jinjing 雪币： 182 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 34 回帖 103 粉丝 0 关注私信	jinjing 5 楼我推荐楼主还是装个windbg吧！，在kernel debug中查看KEVENT就简单多了！！！！ 2008-11-17 18:13 0
jinjing 雪币： 182 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 34 回帖 103 粉丝 0 关注私信	jinjing 6 楼例如下面的截屏！！ 0: kd> dt _Kevent ntdll!_KEVENT +0x000 Header : _DISPATCHER_HEADER 0: kd> dt _DISPATCHER_HEADER ntdll!_DISPATCHER_HEADER +0x000 Type : UChar +0x001 Absolute : UChar +0x002 Size : UChar +0x003 Inserted : UChar +0x004 SignalState : Int4B +0x008 WaitListHead : _LIST_ENTRY 2008-11-17 18:37 0
草屋居士雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 124 粉丝 0 关注私信	草屋居士 7 楼 lz只是想得到在驱动中获得应用程序的事件吗？？应用程序中 createevent 然后把得到的handle用DeviceIoControl传到驱动里面驱动程序中先获得传进来的handle，调用ObReferenceObjectByHandle把这个handle转成一个事件对象。。。。以后驱动中也可以kesetevent或keWaitForSingleObject这个对象了 2008-11-17 19:25 0
RYYMike 雪币： 261 活跃值： (32) 能力值： ( LV7，RANK：100 ) 在线值：发帖 28 回帖 92 粉丝 0 关注私信	RYYMike 2 8 楼谢谢大家帮忙了，谢谢！ 2008-11-17 21:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复