fyfy

Win7 64位的SSDTHOOK(1)---SSDT表的寻找http://blog.youkuaiyun.com/zfdyq0/article/details/26515019最近在学习64位驱动，涉及到了SSDT的知识，结果发现64位下的SSDT和32位下的SSDT有所不同。开始发现64位下的KeServiceDescriptorTable是未导出的函数。首先要找到Ke

Windbg下无法显示dbgPrint输出的信息http://blog.youkuaiyun.com/happy987818/article/details/50516236刚开始使用Windbg进行内核驱动的调试，但驱动中使用dbgPrint打印的调试信息一直都无法在Windbg中显示。后来纠结了很久才得以解决，记录如下。一、问题的根本原因The pr

http://blog.youkuaiyun.com/witxjp/article/details/8118481使用Windbg第一步要做的，就是设置符号文件的位置，就是pdb文件。符号路径设置：Ctrl+S在弹出的窗口中输入你的符号路径，路径的格式只要符合Windows操作系统路径格式即可，路径可以多个，中间以分号间隔，d:\symbols\win2k3_en；

http://blog.youkuaiyun.com/wxqian25/article/details/18406635首先用windbg打开notepad.exe；dt命令显示局部变量、全局变量或数据类型的信息。它也可以仅显示数据类型。即结构和联合(union)的信息。下面用dt命令查看Win7结构体；查看peb结构；

http://bbs.pediy.com/thread-210481.htm来看雪一年了，在这里面学到了很多知识，非常感谢各位前辈对知识的分享和不懈的研究，也非常感谢各位大神对我们这些小白的照顾，特别要感谢MaMy、hksoobe、luolinlove等大神的指导。我也一直非常希望能为看雪贡献一点什么，但是小白的理解估计大神也看不上，这次也是注册看雪一周年，冲着这个也来发表一点自己的理

分享国外一些知名的VT开源项目http://www.m5home.com/bbs/thread-8759-1-1.html攻破WIN7~WIN10的KPP和DSE（WIN64内核越狱）http://www.m5home.com/bbs/thread-7870-1-1.htmlWIN64免签名加载驱动SDKhttp://www.m5home.com/bbs/thr

http://blog.youkuaiyun.com/cosmoslife/article/details/14151245很自然地 windows 7 x64 版本会使用 processor 提供的 syscall/sysret 指令来构造一个快速的调用系统服务例程机制。ntdll!NtCreateDebugObject:00000000`76d70680 4c8bd

http://blog.youkuaiyun.com/muy/article/details/46742083起因        前几天有朋友遇到一个问题来问我。他有一个Windows 7 x64下的minidump文件（http://pan.baidu.com/s/1dD524hz），经过初步分析，知道系统崩溃最初是因用户态调用了NtDeviceIoControlFile造成的，

https://www.cnblogs.com/aliflycoris/p/5828157.html0x01 前言　　我们知道R3层中，Zw系列函数和Nt系列函数函数是一样的，但是在内核Zw系列函数调用了Nt系列函数，但是为什么要在内核设置一个Zw系列函数而不是直接调用Nt函数呢？Zw系列函数又是怎么调用Nt系列函数的呢？我们利用IDA分析NtosKrnl.exe文件。

https://bbs.pediy.com/thread-204323.htm

https://bbs.pediy.com/thread-143987.htm有点纠结，不知道应不应该发，本来想多攒点东西，留着以后找工作。毕竟说空话被bs过。其实技术含量也不高，耐心研究下都能实现。发出来了，权当促进游戏保护和反保护事业的发展吧。大牛飘过吧，那些还没成为大牛就开始倚老卖老喜欢对刚入门的小菜指手画脚的，时不时的来一句“别瞎鼓捣了，你应该从这学起，你应该从那学起的吧“请嘴

http://www.m5home.com/bbs/forum.php?mod=viewthread&tid=6182&page=1//Disable PatchGuard - the easy/lazy way.//for Vista SP2 & Windows 7 (X64)////by Fyyre (thank you Roxaz for helping me to

http://blog.youkuaiyun.com/programme_fancier/article/details/63372538C++Win764x下做掉PatchGuard教程C++于R3层干掉PG.我已经搞定很久了 但是一直也没有发出来. 因为做掉PG还有很多高深的办法,PG也不是那么难过掉的东西.我靠着一些资料埋头研究了半个月之久.成功的在win7 64

https://bbs.pediy.com/thread-186091.htm作者：TianyQQ：304400230如果大家调试过某驱动 就知道新版本的驱动已经改了很多 很主要的一点就是只要我们在boot.ini 里加入multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows 2003  - debu

http://blog.youkuaiyun.com/whatday/article/details/52493546在内核程序开发中，我们常常需要取得某进程的pid或句柄，或者需要检索进程的eprocess结构，很多API函数需要的参数也不同，所以掌握pidhandleeprocess相互转换的方法会大大提高我们的开发效率。以下就是我自己在实际开发中总结出来的转换方法，在此记录下来，

双机调试和windbg的命令http://blog.youkuaiyun.com/aap159951/article/details/50971834各位大牛以及和我一样还是菜鸟的朋友们，大家好，今天在调试驱动程序时，由于要做双机调试，所以顺便再论坛发给以后需要的朋友，相对网上其他教程我的这个算是比较详细了，因为我是看了网上很多相关文章，他们多多少少都还是存在一些问题，

VS2012编译调试WDM驱动(KdPrint无调试信息 win7无调试信息)http://blog.youkuaiyun.com/whatday/article/details/9384577对于WDM驱动 VS2012有向导可以新建WDM项目 如图 这点说明不用自己配置 文件目录 C/C++ 选项 LINK 选项 等一系列的参数 比以前方便了不少新建以后

Win7 64位的SSDTHOOK(2)---64位SSDT hook的实现http://blog.youkuaiyun.com/zfdyq0/article/details/26753797Hook之前要干掉PG：http://www.m5home.com/bbs/thread-5893-1-1.html上篇文章知道了寻找SSDT表的方法，这篇记录一下如何实现SSDT

在Win7x64上加载无签名驱动以及让PatchGuard失效(Win7x64内核越狱)http://www.m5home.com/bbs/thread-5893-1-1.html此软件的原理是修改内核文件的机器码使得PatchGuard不启动（把原始内核文件复制一份出来才做修改，不是修改原始内核文件），并建立新的内核启动项（新建的内核启动项可以使用msco

R3修改线程上下文EIP实现的无模块注入http://blog.youkuaiyun.com/zfdyq0/article/details/40890521[cpp] view plain copy #include "stdafx.h"  #include   #include   using std::cin;    

ShellCode欺骗的艺术！网上看到一份ShellCode  非常NICE  ，用来抛砖引玉！ sub sp,0x440 xor ebx,ebx push ebx push 0x74736577 push 0x6c696166 mov eax,esp push ebx push eax push eax push ebx mov e...http://blog.csdn.ne

windows driver kit 7.1.0(简称为wdk7.1) 7600_1  安装方法http://www.sdbeta.com/xiazai/2017/0309/163499.htmlwdk7.1，全称windows driver kit 7.1.0，是一个微软Windows平台的设备驱动程序开发工具，具有工具、代码示例、文档、编译器、标题和库，可用于创建适用于

http://pan.baidu.com/s/1ge4nkMv

驱动开发VC2008+WDK7600+DDK1.3a安装图解http://www.360doc.com/content/10/0731/09/1794115_42661252.shtml  驱动才是王道哈。。。。与硬件通信的桥梁。是真正的技术所在       目前驱动程序开发语言首选汇编 然后是c 最后是 c++ 其他语言不支持。找了好久的资料

一句话总结Windbg 32位版本和64位版本的选择http://www.cnblogs.com/pugang/archive/2012/11/16/2772651.html用惯了Vsiual Studio的兄弟们可能会因为先入为主的原因以为所有的调试器都应该像它那样，其实不然，当你安装Debugging Tools for Windows的时候，你将发现有两个系列

bcdedit无法打开启动配置数据存储拒绝访问无法打开启动配置数据存储拒绝访问 windows 7在CMD里运行bcdedit时，可能出项“无法打开启动配置数据存储 拒绝访问”的错误。　　原因是cmd不是以管理员的身份运行的，所以才会出现权限不足的问题。　　可以在系统盘X:\windows\system32下查找到cmd命令提示符可执行文件，

VMware虚拟机提示在该系统上全局禁用了虚拟机打印功能怎么http://www.beihaiting.com/a/RJC/GJRJ/20150831/7406.htmlVMware虚拟机提示在该系统上全局禁用了虚拟机打印功能怎么办?草遮不住鹰眼，水遮不住鱼眼。如下图所示。在开启虚拟系统是每次都提示：在该系统上全局禁用了虚拟机打印功能，不会为该虚拟机启用此功

win7 x64驱动开发经验（三）windbg 双机调试配置 、问题及解决办法http://www.cnblogs.com/witty/archive/2012/04/23/2466024.html--------------------------------------------------------------转自http://yexin2

win7 64位驱动开发 经验（1）http://www.cnblogs.com/witty/archive/2012/04/20/2459810.html我的驱动测试环境：win7 64 U 版，win7 x64 checked build编译的驱动文件。工具下载首先 管理元身份启动 DebugView ，配置：菜单capture下 cap

http://bbs.pediy.com/thread-188472.htm x64系统的强制数字签名以及PatchGuard一直阻碍着咱们研究64位驱动，因为加载不上，很是闹心，下面我就介绍给大家一些工具和手法，使得能够加载自己编写的驱动。    针对于Windows 7 x64系统，网上放出了破解补丁，打补丁后就能够加载，非常简单，不需要签名，顺带废除了PatchGuard。仅

http://blog.youkuaiyun.com/kingswb/article/details/51194253参考  http://bbs.pediy.com/showthread.php?t=196149非常好的一篇分析贴本文在Win7 x86下的分析在虚拟机中以/DEBUG模式启动TP游戏，系统会自动重启。 根据软件调试第十八章，windows启