babala512的专栏

  最近在看 Windows 2000 secrete 是遇到一个公式 PTE_Addr = (VirtualAddr >> 12) * 4 + 0xC0000000通过查找网络资料之后得到如下证明：因为1024个页表被映射在0xC0000000 - 0xC03FFFFF地址中，这样就可以得到一个关系，页目录索引n指向的页表就等于0xC0000000 + n * 页表大小，一个页表的大

1. Windows 把页目录表映射到0xC0000000到0xC03FFFFF 这4MB的地址空间中，对于这4M的地址空间也有一个页表与之对应。不妨设为Px。既然Windows 把全部页表都映射到上述的4M地址空间，那么页表Px自然也在其中。该页表对应的线性地址为0xC0000000H。利用公式PTE_Addr = (VirtualAddr >> 12) * 4 + 0xC0000000，将0x

按照ms的步骤走了一遍，搞明白了，整点笔记记录一下，别忘了。IRP的结构：typedef struct DECLSPEC_ALIGN(MEMORY_ALLOCATION_ALIGNMENT) _IRP { CSHORT Type; USHORT Size; // // Define the common fields used to contro

dosdefinedevice：用于文件路径映射欺骗ZwCreateSymbolicLinkObject：可以给一个既有对象起名字