Windows内核(原创)
关注
分享
扫一扫
celestialwy
这个作者很懒,什么都没留下…
展开
-
Windows内核技术的精华站点
Web站点: http://www.osronline.com,技术含量很高的Windows驱动开发站点,该站点的list基本上覆盖了所有Windows驱动开发的常见问题,强烈推荐; http://www.microsoft.com/whdc,微软的驱动开发资源主页,可以获取很多官方资料; http://www.wd-3.com/,该站点收集了一些比较好的Wind原创 2006-02-15 15:28:00 · 3833 阅读 · 2 评论 -
如何解决DriverStudio 3.2 的Visual Studio 2005插件不能在Vista下正常运行的问题
这两天开始了在Vista下开发驱动的历程。但一开始碰到一个比较严重的问题,一编译原来用DriverStudio向导生成的工程,Visual Studio 2005便停止了响应。由于DriverStudo 3.2可以正常运行,所以一开始没有想到是DriverStudio的问题,首先想到的是关闭Vista的用户帐户控制(UAC),但是关闭后症状依然。没有办法,只好祭出调试&反编译的大旗,一步步原创 2007-08-11 00:23:00 · 2962 阅读 · 0 评论 -
利用Native API内核模块信息
本文描述了在用户态利用利用Native API获取内核模块信息的方法,并给出了示例代码。 首先需要获取该函数的地址,获取Native API地址的方法或直接调用的技术可参照我的文章-《用户态应用程序调用Native API的方法》和《用户态应用程序调用Native API的一种最简便的方法》。 下面即为示例代码: DWORD dwTemp;DWORD d原创 2006-08-20 20:42:00 · 1949 阅读 · 0 评论 -
Windows删除文件的实现分析
Windows下删除文件的实现方式本质上有以下两种:1. 使用FILE_DELETE_ON_CLOSE ZwCreateFile和IoCreateFile的CreateOptions 参数可以通过使用FILE_DELETE_ON_CLOSE标志来实现删除文件的功能。顾名思义,使用此标志打开的文件在关闭时会删除该文件。 如要在文件过滤驱动中判断是否设置了FILE_DELETE_ON_CLOS原创 2006-08-06 16:10:00 · 6835 阅读 · 0 评论 -
编程获取当前Windows平台的System Service列表
通常我们都是通过反汇编或者静态数组映射的方式获取构建System Service Id到System Service的映射的,这种方式依赖于Windows的版本。为了克服这个不足,本文介绍了一种编程动态获取当前Windows平台的System Service列表的方法。 代码如下: bool IsSystemService (LPCTSTR lpcszFunctionName, PBY原创 2006-09-27 09:11:00 · 2150 阅读 · 0 评论 -
核态获取PsLoadedModuleList地址的稳定方法
PsLoadedModuleList是Windows加载的所有内核模块构成的链表的表头,利用它可以枚举所有这些模块的信息,这些信息可用在AntiRootkit等方面。 由于Windows 2003 Server SP1开始不再支持用户态访问Physical Memory,所以我这介绍一种在内核态获取PsLoadedModuleList地址的稳定方法。次方法已在Windows XP S原创 2006-09-21 15:08:00 · 6138 阅读 · 1 评论 -
用户态应用程序调用Native API的一种最简便的方法
在用户态下调用Native API的作用的本文不再赘述。 在用户态下调用Native API的方法也不止一种,本文介绍了我个人认为在用户态下调用Native API的一种最简便的方法。其余几种方法可以参考我的另外一篇文章《用户态应用程序调用Native API的方法》。 本文以调用NtQuerySystemInformation为例介绍这种方法: 第一步:声明函数原型原创 2006-05-08 09:34:00 · 2828 阅读 · 0 评论 -
利用Native API获取进程和线程信息
Windows平台下的Native API - ZwQuerySystemInformation可以用来获取很多系统信息,本文以获取系统进程和线程信息为例描述了该函数的用法,以展示它的强大功能。 首先需要获取该函数的地址,获取Native API地址的方法或直接调用的技术可参照我的文章-《用户态应用程序调用Native API的方法》。 下面即为示例代码: ULON原创 2006-02-27 16:37:00 · 2931 阅读 · 0 评论 -
Windows内核方面的经典书籍
Inside Windows 2000;Microsoft Windows Internals。这两本书分别是同一套Windows内核架构分析书籍的第三版和第四版,两位作者在编写本书的过程中被授权察看Windows的相关源码,所以可以说这两本书是Windows内核分析的第一手资料; Programming the Microsoft Windows Driver Model,原创 2006-02-14 09:50:00 · 7681 阅读 · 1 评论 -
用户态应用程序调用Native API的方法
微软基本没有提供给用户态程序调用Native API的接口,因为Windows SDK中几乎没有调用所需的头文件和库文件(SDK中只有少量的Native API所需的数据结构),但是可以利用以下两种方法在用户态调用Native API。 利用函数指针 通过下面的三个步骤则可以在运行期获取Native API的函数指针,从而实现调用该函数的目的。第一步原创 2006-02-18 13:46:00 · 5629 阅读 · 0 评论 -
Windows NT/2000/XP Native API比较列表
INDEX WINDOWS NT 4.0 WINDOWS 2000原创 2006-02-17 11:03:00 · 7517 阅读 · 1 评论 -
Windows Native API分类列表
Special Files These APIs are used to create fil原创 2006-02-16 14:48:00 · 6142 阅读 · 0 评论 -
DriverStudio 3.2 与 Visual C++ 2005 的兼容性问题
DriverStudio是Windows下开发驱动程序的利器,DriverStudio 3.2是其最新版本。但很可惜,这也是它的最后一个版本了,Compuware公司已经停止了对它的继续开发。 DriverStudio 3.1/3.2都能与VC++ 2003顺利集成。但是DriverStudio 3.1未提供VC++ 2005下的集成插件,而DriverStudio 3.2安装包提供原创 2007-05-12 09:10:00 · 6224 阅读 · 3 评论