dasgk的专栏

为什么要写这篇文章1.      因为最近在学习《软件调试》这本书，看到书中的某个调试历程中讲了Windows的系统调用的实现机制，其中讲到了从Ring3跳转到Ring0之后直接进入了KiFastCallEntry这个函数。2.      碰巧前天又在网上看到了一篇老文章介绍xxx安全卫士对Windows系统调用的Hook，主要就是Hook到这个函数3.      刚刚做完毕业设计，对

存与进程管理器==========================But I fear tomorrow I'll be crying,Yes I fear tomorrow I'll be crying.King Crimson'69 -Epitaph关于Windows NT内存管理器的高层次信息已经够多的了，所以这里不会再讲什么FLAT模型、虚拟内存之类

本文主要记录个人安装VMware+Windgb+Win7内核驱动调试的笔记。一、安装环境主机：Windows Vista Bussiness虚拟机：VMware 7GUestOS: Win7Windbg: 6.11二、虚拟机配置打开相应 vmware 虚拟机上的 “Virtaul Machine Settings“ “Hardware　”选项中 ---->

： WINDOWSWindows规定有些虚拟内存可以交换到文件中，这类内存被称为分页内存有些虚拟内存永远不会交换到文件中，这些内存叫非分页内存#define PAGEDCODE  code_seg(“PAGE”);//分页内存#define LOCKEDCODE  code_seg();//非分页的#define INITCODE  code_seg(“INIT”);

笔者曾在网上搜索进程监视，大家都在使用PsSetCreateProcessNotifyRoutine，这个函数，但是在笔者的环境中使用时，总是出现未声明的标示符，查了下MSDN，是说在文件中进行定义的，但是计算包含进来也是不能使用的！！！！于是进一步查看ntddk.h文件的使用，于是发现了，这个头文件仅仅使用#include还是不可以的查了些资料，发现其使用方法如下//////////

1.  安装VS2010,WDK7.60（GRMWDK_EN_7600_1）2.  新建VC 控制台项目(选择为空项目) 3.  新建项目配置“driver” ，点击下拉按钮-点击（配置管理器）输入名称（driver）点击确定就可以了，其他的不要动哦！完成后的效果！点击确定按钮之后呈现出来的画面鼠标右击新建的driver属性，会弹出以下窗口！

1.DRIVER_OBJECT的结构体如下typedef struct _DRIVER_OBJECT{        CSHORT      Type;        CSHORT      Size;        PDEVICE_OBJECT  DeviceObject;        ULONG  Flags;        PVOID DriverStart