Starr

文章目录VSvs远程调试卸载虚拟机vm配置注册表驱动加载器双机调试VS将vs安装在c盘默认目录program files(x86)，组件勾选sdk，选最新版即可。然后去微软官网下载WDK，安装程序会自动下载对应版本，一直点击“下一步”即可，不要点否!!!项目设置，Driver setting，确保系统匹配，平台一般为Desktop。如果一加载就蓝屏，通常是忘了设置这一步。vs远程调试对...

文章目录结构体获取IDR遍历IDT结构体//idtr指向这个结构体typedef struct _IDT_INFO{ UINT16 uIdtLimit; // IDT范围 UINT16 uLowIdtBase; // IDT低基址 UINT16 uHighIdtBase; // IDT高基址}IDT_INFO, *PIDT_INFO;// IDT表中...

文章目录3. 驱动对象结构体4. 设备对象4.0 创建和销毁4.1 结构体4.2 通讯4.2.0 设备对象的2种通讯方式4.2.1 读写方式通讯4.2.2 控制码方式通讯4.3 符号链接4.3.0 作用4.3.1 分类4.3.2 创建与销毁5. IRP和派遣函数5.0 IRP头部5.1 IO_STACK_LOCATION5.2 IRQLwindows内核虽然用c实现，但也有面向对象的思想，下面是...

文章目录0. 驱动通讯0.0 通讯过程中的数据的传输0.1 R00.2 R31. 高级内核通讯1.0 dwIoControlCode1.1 其它参数1.2 R0代码示例1.3 R3代码示例2. 小结数据传输成为IO，驱动程序中，IO通过IRP传递给设备对象，所以和驱动程序通讯最常用的方式就是创建IRP。0. 驱动通讯0环创建设备对象绑定符号链接绑定派遣函数3环通过Crea...

文章目录0. 前言0.0 关于API0.1 命名前缀0.2 返回值0.3 函数所占内存属性0.4 数据类型字符串内存操作内核链表1. 一个简单的驱动1.0 加载/卸载驱动1.1 调试驱动1.2 蓝屏处理0. 前言驱动程序：针对某硬件，连接硬件与OS；内核程序：针对某功能，作为内核的插件。sys文件对ntkrnl.exe，就像dll对OD.exe（等支持插件的程序）。驱动由3类：...

文章目录0. 发展过程保护模式803861. 段寄存器1.0 选择子2. 段描述符2.0 S+Type数据段描述符代码段描述符系统段描述符2.1 赋值原理2.2 段权限检查1.4.0 数据段权限检查1.4.1 代码段权限检查2.2 其它检查有效位检查段类型检查3. 系统段描述符-门描述符3.0 调用门设置和使用3.1 任务门、中断门和陷阱门4. 其它寄存器4.0. 调试寄存器4.1. 控制寄存器C...

文章目录两种模式分页机制原理非物理地址扩展模式windbg实验物理地址扩展模式windbg实验同一个虚拟地址0x401000，在不同的进程中能够访问出不同的数据。这是因为Windows使用CPU的分页机制，将一个进程的虚拟地址映射到了不同的物理地址上。两种模式这个虚拟地址和物理地址的映射关系需要记录下来。在Windows中,有2种方式：非物理地址扩展模式物理地址扩展模式(PAE)非...

文章目录定义结构体并赋值GDT表代码双机调试坑编程利用调用门读取GDT[2]并打印。因为在Windows中没有使用调用门，因此，在GDT表中是没有调用门描述符的.想要试验一个调用门,就需要自己使用windbg开启双击调试,并自行在GDT中设置一个.定义结构体并赋值定义这种系统相关的结构体时，要注意粒度对齐。#pragma pack(1)typedef struct _CALLGATE...