爱杀之爪的矩阵

1，下了一本《windows驱动开发技术详解》开始看，据说这本很适合入门2，到微软下了个wdk安装了，拿着书上的例子试试了，第一次就出现问题，原来是要放在c盘下面编译才可以，顺利解决3，下载了debugview，驱动安装工具，IRPtrace等工具，便于理解驱动运作方式4，搜所乐下如何双机调试驱动，原来发现只要设置好了，虚拟机发生崩溃就会自动会windebug捕获到并中断5，还有张

<br />Buffer Overrun, Memory Corruptions, and Special Pool<br />By far the most common source of crashes on Windows is pool corruption. Pool corruption usually occurs when a driver suffers from a buffer overrun or buffer underrun bug that causes it to over

系统过滤驱动 枚举

PAE模式下如何计算PTE

储巢， 巢箱，巢室，隐藏注册表

static CHAR* ShadowSSDT_array_xp3[700] = { "NtGdiAbortDoc", /* 0 */ "NtGdiAbortPath", /* 1 */ "NtGdiAddFontResourceW", /* 2 */ "NtGdiAddRemoteFontToDC", /* 3 */ "NtGdiAddFontMemResourceEx", /* 4 */ "NtGdiRemoveMergeFont", /* 5 */ "NtGdiAddRemoteMMInstanceT

<br /><br /> <br />kernel32.dll里面好多的函数其实都是直接转向ntdll.dll里面的<br />这样导致假如一个程序里面使用HeapFree这个函数了，然后在IAT表中这个函数对应的地址并不是在kernel.32中，<br />而是在ntdll.dll 里面的RtlFreeHeap这个函数<br /> <br />没啥意思

1394调试

<br />直接卸载要杀进程的ntdll.dll就可以直接杀死该进程<br /> <br />卸载可以用sdt表中的那个NtUnLoadMap**函数，或者可以使用<br />MmUnmapViewOfSection（未导出，自己搜索到）来结束<br /> <br />绿色无污染撒，用<br />MmUnmapViewOfSection这个比较好，除非被inline hook了，不然都有效（前提是获取EPROCESS，相信这个很简单吧）

r3和r0共享对象来同步

<br /> <br />//从hookport.sys学到的hook方法，主要是KiFastCallEntry地址的获取及hook的地方思路//DRIVER.CPP#include "Driver.h"#define MAX_POOL_EXA 0x1000/************************************************************************ 全局结构变量*********************

<br />http://bbs.driverdevelop.com/read.php?tid-122701.html <br /> <br /> <br /> 

看懂好多的ddk中的源码都有这个，搞不清楚到底是啥？ 查询ddk。可知类似这样的#pragma prefast(suppress: __WARNING_POTENTIAL_BUFFER_OVERFLOW, "Ndis guarantees MediumIndex to be within bounds"); 应该是一个宏定义You can also define a mac

关于我们用自己的sys去替代系统的sys文件时遇到的系统的文件保护的问题How Do I Replace A System File? Try .KDFILES Getting Your Work Done In Spite of System File Protection OSR Staff | Published: 24-Aug-04| Modified: 24-Aug-04Wh

最新Bios全程图解：http://www.cjl9i0.com/bios/BIOS研发技术详解：http://61.137.90.75/downloads95/ebook/53607910BIOS-YANFAJISHUPOUXI.rar

 这个是看windows驱动开发那本书上的第二十二章的FileFilter源码用ddk编译时出现的问题，注意是在stddcls.h这个文件中 解决办法：自己将该文件内容重新输入一遍，就可以搞定。 原因：主要是换行符在不同系统下不同导致的 

Driver.cpp // DriEnumProcess.cpp : Defines the entry point for the console application.//#include "Driver.h"#include "ntddk.h"#include #include "stdarg.h"#include "stdio.h"#include "ntddkbd.h"

                           我也来发下FileMon解说 废话不说，直接主题： 从DriverEntry开始：    RtlInitUnicodeString (&deviceNameUnicodeString,                          deviceNameBuffer );     //    // Crea

忘了具体错误是什么了？好像是工作未完成在驱动卸载时 我解决的办法是在GUI程序结束时，先通知以下驱动程序将要卸载了，并且GUI程序sleep几秒。 我们的驱动在卸载时必须保证IRP都完成了 一般在卸载时加上个#define  DELAY_ONE_MICROSECOND  (-10)#define  DELAY_ONE_MILLISECOND (DELAY_ONE_M

以下是引用MSDN上的：CauseThe pool is already corrupted at the time of the current request. This may or may not be due to the caller. Resolving the ProblemThe internal pool links must be walked to fi

转贴：：：： 很久以前就知道小喂有个VmKd工具,使用Vmware的后门指令直接拷贝数据来代替模拟串口，能大大提高调试时的数据传输速度。不过那个对VMware版本的依赖性太强，我的Vmware就没法用，所以很不爽得又放下了，很长一段时间也没关注过。最近翻资料时又找到index09同学的一篇文章，介绍了比Vmkd更好用的VirtualKD，于是马上下回来试用了一下，安装简单多了，使用方便，终

////4、设备对象(DEVICE_OBJECT)主要成员   DriverObject: 指向与该设备对象相关的驱动程序对象。过滤驱动程序有时需要用这个指针来寻找被过滤设备的驱动程序对象。   CurrentIrp: 指向最近发往驱动程序StartIo函数的I/O请求包。   Flags: 包含一组标志位      DO_BUFFERED_IO: 读写操作使用缓冲方式(系统复制缓冲区)访问用

// hook一ZwCreateSection.cpp : Defines the entry point for the console application.//#include #include extern "C"  typedef struct _SERVICE_DESCRIPTOR_TABLE{ PVOID   ServiceTableBase; PULONG  ServiceC

//把IofCallDriver开头指令拷贝下来，移到我们自己地中继函数中//把IofCallDriver开头写入跳转指令跳转到我的中继函数//中继函数中执行对我自己的IofCallDriver钩子函数的调用//中继函数中执行原来的IofCallDriver函数中拷贝过来的几条指令//跳转回到原来的IofCallDriver后开始的跳转点继续执行//#include "xde.h"#inclu

kd> u MmIsAddressValid80511990 8bff            mov     edi,edi80511992 55              push    ebp80511993 8bec            mov     ebp,esp80511995 51              push    ecx80511996 51             

http://linuxch.org/poc2012/MJ0011,Using%20a%20Patched%20Vulnerability%20to%20Bypass%20Windows%208%20x64%20Driver%20Signature%20Enforcement.pdf随便找个有漏洞的签名sys，然后在win8 win7下加载然后不就可以过签名了嘛比如