温研的专栏 （探索OS内核的奥秘）

转载自http://advdbg.com/blogs/advdbg_system/articles/21.aspx今年一月份起，Channel9陆续访谈了一些微软内部的高级设计师和架构师，每次探讨Windows内核的一个方面。尽管录像和采访水准比. NetShow差很多，但是正因为采访的场合就在办公室，气氛也很随意，又很有针对性，因此谈的内容还是很值得一看的。建议大家茶余饭后边听边消遣一下。

作者：James Antognini and Thomas F. DivineCopyright ? 2003 by Printing Communications Assoc., Inc. (PCAUSA). All rights reserved 译：feikoo  时间：2006年3月1日 本文是扩展Microsoft? Windows? Driver Developme

#include "precomp.h"#pragma hdrstop#define MAX_PACKET_POOL_SIZE 0x0000FFFF//最大64K#define MIN_PACKET_POOL_SIZE 0x000000FF//最小256字节//---------------------------------------------------------------------

创建时间：2003-07-13文章属性：原创文章提交：xiaobai (xiaobai_at_openfind.com.cn)基于IMD的包过滤防火墙原理与实现 xiaobai xiaobai@openfind.com.cn 711网络安全小组  http://www.cpyy.net 一、前言 二、IMD中间层技术介绍 三、passthru例程分析 四、部分演示代码 五、驱动编译与安装 六.

===========================[ 挂钩Windows API ]==================                                    SoBeIt                       Author:  Holy_Father holy_father@phreaker.net>                      

在做文件过滤驱动的时候，经常会想知道这个文件访问请求是来自本地还是网络的，这样就可以根据自己制定的安全策略，决定是否允许这些请求完成，因 此，成功的判断来自网络的文件访问就十分必要了。刚刚从驱网bmyyyud的Blog那里看到的一篇相关文章，还没有来得及测试，先转载过来吧，有空试 试。//---------------------------------------------------//

July 15, 2003 作者：Thomas F. Divine  译：feikoo 微软的Windows驱动开发工具(DDK) 附带的NDIS中间层驱动PassThru源代码给我们提供了一个极好的示例，它向我们展示了实现NDIS 中间层过滤驱动框架一种方法。（感谢NDIS开发团队）。但是，PassThru中缺乏实际的功能。要想让它具备实际的用途，我们必须进行下一步的工作，就是向这个框架

////Protocol Wrapper Version 1.05//Author: gjp//email: gjpland@netease.com//#include "NdisHook.h"#include "HookRule.h"#pragma pack(push)#pragma pack(1)typedef struct _HOOK_CONTEXT_STRUCT{ //runtime

转自：http://bbs.zndev.com/htm_data/87/0501/84733.html先说什么是shim engine.... 最直接的方式就是下载这个附件...运行test目录下面的quake3.exe .... 呃...实际上她是windows自己的winver.exe的一个copy而已... 我只是rename成了quake3.exe..... 运行出来界面了..仔细动动..

研究CreateProcess==========================                                  Может быть я всегда знал                                  Мои хрупкие мечты будут разбиты ради тебя...                       

内核反汇编技术===============================Windows  NT主要是由C写成的，所以总的来说进程本身的反汇编不是很复杂。通常对局部变量和参数的使用是通过地址和用EBP形成的stack frame来进行的。例如：PAGE:801932D4    mov     eax, large fs:0PAGE:801932DA    push    ebpPAGE:

While processing an IRP_MJ_CREATE a filter may need to open the file with different attributes/rights, etc. This is often done by using a second call to ZwCreatefile. This then will generate a call ba

   文摘出处：http://www.xfocus.net/articles/200412/765.html创建时间：2004-12-23文章属性：原创文章提交：SoBeIt (kinsephi_at_hotmail.com)Windows内核调试器原理浅析                                                               

    通过ntdll导出的Native API可在用户态实现一些原本只能在内核才能实现的功能，但是这些函数及其使用的数据结构有很大一部分是Undocumented的（Documented的可在DDK中查到相关信息）。下面的链接提供了一个.chm文件，其中详细描述了这些Undocumented的Native API和相关数据结构。  点击下载

Windows文件系统过滤管理器之微过滤器驱动开发指南   0.译者序 对我来说，中文永远是最美，最简洁，最精确和最高雅的文字。 本 文翻译仅仅用做交流学习。我不打算保留任何版权或者承担任何责任。不要引用到赢利出版物中给您带来版权官司。本文的翻译者是楚狂人，如果有任何问题，你可 以通过邮箱MFC_Tan_Wen@163.com,或者是QQ16191935,或者是

概要本文分步介绍了如何检查小存储器转储文件。使用该文件，可以确定计算机停止响应的原因。小存储器转储文件小存储器转储文件记录可帮助确定计算机为什么意外停止的最小的有用信息集。此选项要求启动卷上有一个至少为 2 MB 的页面文件。在运行 Microsoft Windows 2000 或更高版本的计算机上，计算机每次意外停止时 Windows 都会新建一个文件。这些文件的历史记录存储在一个文件夹中。

转载自http://advdbg.com/blogs/advdbg_system/articles/45.aspx对于从事Windows驱动开发的朋友，或者是对Windows内核感兴趣的朋友，以下几个BLOG值得经常看看！1，Kernel Mustard by Steve Dispensa link: http://kernelmustard.com/category/ddk/他以前的BLOG

解读Windows 2000/XP分层驱动模型             WebCrazy(http://webcrazy.yeah.net)    可扩展性是Windows NT/2000/XP设计的目标之一，其分层驱动模型是可扩展性的最好体现。实现分层依赖于IO管理器的两个重要的设计：1、Windows中的任何一个驱动程序都被设计成Client/Server模式。对于客户端驱动，通过IoGe

标 题: SoftICE技巧九则发帖人:shacksing时 间: 2005-03-14 09:33 原文链接:http://bbs.pediy.com/showthread.php?threadid=12036 详细信息:   SoftICE技巧九则ShackSingsharksing@163.com SoftICE是由美国 Compuware （NU

0.       作者，楚狂人自述我长期网上为各位项目经理充当“技术实现者”的角色。我感觉Windows文件系统驱动的开发能找到的资料比较少。为了让技术经验不至于遗忘和引起大家交流的兴趣我以我的工作经验撰写本教程。我的理解未必正确，有错误的地方望多多指教。有问题欢迎与我联系。我们也乐于接受各种驱动项目的开发。邮箱为MFC_Tan_Wen@163.com,QQ为16191935。对于这本教程，您可以

WINDOWS系统隐含了不少内部数据结构,其记录着与系统相关的所有重要信息如线程、进程、内核调用等等，具体如Windows NT/2000模块ntoskrnl.exe中的NtBuildNumber与KeServiceDescriptorTable等(用SoftICE或 Visual Studio所带的Dependency Walker之类的可以看到),前者只是指出当前Windows的Build号(

现在我们结合Regmon(http://www.sysinternals.com/)在NT中的实现方法再来谈谈Windows NT/2000内部数据结构。    Regmon是监视应用程序访问系统注册表的实用程序。大家都知道在应用程序中使用注册表一般都调用WinAPI Regxxx，而Regxxx最终会调用Native API Zwxxx!(参阅Windows NT/2000 DDK Docu

INTRO (写给NT研究者)=============================                                             Мы всего лишь момент во времени                                             Отблеск в глазах,                

系统调用接口===========================                              Я смотрел на снег весь день... Падающий...                              Всегда вниз. Падающий весь день.                              И т

内存与进程管理器==========================                                   But I fear tomorrow Ill be crying,                                   Yes I fear tomorrow Ill be crying.                      

Inside WINDOWS NT Object Manager=====================================                                                                                  Заточенное само в себе                         

转自：http://blog.youkuaiyun.com/joshua_yu/archive/2006/02/04/591628.aspx在开发Windows下文件系统过滤驱动程序时，我们经常需要先查询一下文件的属性信息，为了实现这个小目标，可以调用Windows Native API函数ZwQueryInformationFile并提供希望查询的文件信息类的名字及结构即可。不过如果我们在驱动程序当中自

NTFS是Windows NT引入的新型文件系统，它具有许多新特性。本文旨在探索NTFS的底层结构，所叙述的也仅是文件在NTFS卷上的分布。NTFS中，卷中所有存放的数据 均在一个叫$MFT的文件中，叫主文件表(Master File Table)。而$MFT则由文件记录(File Record)数组构成。File Record的大小一般是固定的，通常情况下均为1KB，这个概念相当于Linux中的

我以前不大明白Windows的文件系统和缓冲管理器之间的关系。仅仅知道Cc开头的系列调用是缓冲管理器提供的，文件系统中可以调用。也知道缓冲对于文件系统的意义，在于缓冲读写操作，使磁盘得到高效的利用。 为了翻译了这些资料，我也大致明白了文件系统和缓冲管理器之间的互动。windows的文件系统和缓冲管理器之间是相互调用的关系，双向沟通。总的 来说，是缓冲管理器提供一些调用给文件系统，文件系统注册一

转自osronline Windows Streams - An Introduction to File System Streams The NT Insider, Vol 13, Issue 2, March - April 2006 | Published: 17-Apr-06| Modified: 1