feixi7358的博客

【代码】Windows驱动等待。

1、网络控制工具：clumsy(时延不是很准)、Network-Emulator-Toolkit-x64(时延很准，功能更强大)2、内核工具：PCHunter64、YDArk3、进程查看工具：procexp4、进程监控：Process Monitor64、API Monitor

在windbg中输入0: kd> ed nt!Kd_SXS_Mask 00: kd> ed nt!Kd_FUSION_Mask 0

函数//得到对应卷的实例 PFLT_INSTANCE XBFltGetVolumeInstance( IN PFLT_FILTER pFilter, IN PUNICODE_STRING pVolumeName ){ NTSTATUS status; PFLT_INSTANCE pInstance = NULL; PFLT_VOLUME pVolum...

这个是在网上找的，自己合成了一下typedef NTSTATUS (*QUERY_INFO_PROCESS) ( __in HANDLE ProcessHandle, __in PROCESSINFOCLASS ProcessInformationClass, __out_bcount(ProcessInformationLength) PVOID ProcessInforma...

https://www.cnblogs.com/kuangke/p/5761634.html

函数定义//分割目录全路径与文件名VOID SplitString(PUNICODE_STRING FullPath ,PWCHAR filePath ,WCHAR fileName[]){ PWCHAR p = FullPath->Buffer; int i = wcslen(p) -1; int count = i; int j = 0; while(p[i] !...

在项目中遇到要获取文件的扩展名与文件名，无奈FltGetFileNameInformation 得到的是文件的全路径信息，当然这个结构里面也可以获取文件扩展名，但有时好像不起作用（测试过），所以就自己写了个函数来处理这个字符串字符串：\\Device\\HarddiskVolume2\\Windows\\explorer.exe获取扩展名 //获取文件全路径的扩展名，没有扩展名...

监控D盘，看哪些进程操作了D盘里面的文件，把进程名及相应的文件路径写到日志里面Zw---与Flt系列的函数都有，有两种写日志的方法整个项目在 https://download.youkuaiyun.com/download/feixi7358/10854141stdafx.h#ifndef _WIN32_WINNT // Allow use of features spec...

如何在windows驱动中的READ及WRITE（代码中没有贴出） 中写日志，以下代码是可以直接运行的，在win7_32位上运行没问题希望对大家有用https://blog.youkuaiyun.com/feixi7358/article/details/84984154?tdsourcetag=s_pcqq_aiomsgstdafx.h#ifndef _WIN32_WINNT // Al...

记录一下，以后方便查找https://blog.youkuaiyun.com/DontBeProud/article/details/77951837https://www.cnblogs.com/qintangtao/archive/2013/04/15/3023092.html

最简单的方式是安装wdk7600+vs2010+VisualDDK-1.5.7这三个软件安装好之后，可直接在vs2010新建项目中有一个VisualDDK，直接可生成相应的环境 以上是我配置方法，滴水视频里有另外一种配置方法新建Visual C++，选择空项目 然后选生成，配置管理器选择新建配置项目属性   将...

1、CreateFile从r3到r0所调用的函数CreateFile->ZwCreateFile->NtCreateFile->IoCreateFile->IRP_MJ_CREATE2、自旋锁和信号量在互斥使用时注意哪些？使用自旋锁的进程不能睡眠，使用信号量的进程可以睡眠。中断服务例程中的互斥使用的是自旋锁3、minifilter与sfilter的区别解...

我发到看雪上了   https://bbs.pediy.com/thread-226174.htm