浪子_三少(邮箱:basketwill@qq.com)

明明白白自旋锁来自 www.debugman.com 自某日看了iceboy和MJ0011关于多处理器同步的一些讨论，才发现原来我对自旋锁的理解也有一定错误，还好现在明白了~~为了加深理解，就深入分析了一下自旋锁的实现，一篇小小的自旋锁分析文章，献给大家。写得比较碎，欢迎各位大牛小牛指出错误~一、自旋锁是什么？先进行下简单科普，自旋锁是一种轻量级的多处理器间的同步机制。因此，自旋锁对于单处

很久没写技术文章了，今天实在不想写代码就写一篇技术贴，DxgkInitialize是虚拟显卡驱动注册自己的ddi所用的到函数，做虚拟显卡的人很多只知道去调用却不知道他的原理是什么今天我们就分析下。首先我看下这个函数汇编代码                 mov     edi, edi.text:00016605                 push    ebp.tex

代码结构与功能文件功能说明CFilterBase.Cpp基础功能库类例如GUID函数，hash函数，获得或者设置系统信息的函数等等；CFilterCallback.cpp应用层和驱动密码交互的回调函数类例如Request()驱动请求应用层获得密码或者随机数的回调函数,

上周末突然有个外挂，逃过了反挂检测，竟然是全图外挂，通过IDA分析发现 一个virtualQuery函数, 于是在od中加载，算了一下该函数相对模块首地址的位置断下该函数，相对基址的偏移为0xB55E,于是断下 发现只要打勾，反复循环间隔500ms 都会走此函数，于是判断改地址是 外挂修改游戏的信息的函数 继续推测:通过windbg:来断下改地址，通

我们先看下hook  kiFastCallentry 点的汇编代码： winXp： FF05 38060000  inc    dword ptr [638]80542656  8BF2  mov    esi, edx80542658  8B5F 0C  mov    ebx, dword ptr [edi+C]8054265B  33C9  xor    ecx,

最近一直在研究PGP NetShare ,他的驱动是基于文件夹透明加解密，下面是原理图

技术分析⑴．主要派遣例程IRP_MJ_CREATE例程对应的函数: CFilterEngine::DispatchCreate(DEVICE_OBJECT *device, IRP *irp)如果是自己的设备访问则直接放过if(device ==CFilterControl::s_control)   {      irp->IoStatus.Status

个人论坛:http://www.devhk007.com 删除被锁定的文件（类似Unlocker的方法）Deleting Locked Files   Zoltan CsizmadiaFor more information, check out the CodeGuru article entitled, Examine Information on Windows

抹掉所有进程中自己的句柄(源代码)来自www.debugman.com之前听过一个检测进程的想法，就是暴力枚举所有进程中的handle,查找其中类型为PROCESS的．此法也被炉子牛用于他的LzOpenProcess()．下面我就写了一断代码来对抗这个方法，纯属小伎俩，牛牛们飘过～严格说，此段代码不算原创，是从某rootkit的bin中扒出来的，因此基本保留其原貌，经我修改测试，主要函数如

【转载】【翻译】被占用文件操作三法转载自看雪论坛，有很高的参考价值。＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝标 题: 【翻译】被占用文件操作三法作 者: libradohko时 间: 2007-02-03,00:44链 接: http://bbs.pediy.com/showthread.php?threadid=39001被占用文件操作三法无疑我们中的很多人都会遇到需要读写被其它进程占

在一次写文件过滤驱动的时候突然蓝屏，状况如下:堆栈如下：分析： 应用层在调用NtQueryAttributesFile   经过KiFastCallEntry   进入到内核的NtQueryAttributesFile，然后调用文件系统管理器去解析IopParseDevice解析的时候挂了，我们看汇编挂在了 mov eax,dword pre[eax+28