An asynchronous procedure call (APC) is a function that executes asynchronously. APCs are similar to deferred procedure calls (DPCs), but unlike DPCs,APCs execute within the context of a particular

SSDT Hook的妙用－对抗ring0 inline hook 标 题: 【转载】SSDT Hook的妙用－对抗ring0 inline hook作 者: 堕落天才时 间: 2007-03-10,15:18链 接: http://bbs.pediy.com/showthread.php?threadid=40832***************************

早先“盗用”过公开的Re SSDT的源代码，对SSDT多少还是了解些，也Hook 过SSDT，但一直对另外一个SSDT——Shadow SSDT不甚了解，只知道它跟GUI调用有莫大的关系，具体怎么联系起来的，说不清楚。　　最近研究起了Hook ShadowSSDT这个东西，经过查找资料、阅读Win2k的源码，以及WinDbg闹腾了半天，才终于明白了KeServiceDescriptorTa

好久没有重新弄系统了，换了台笔记本需要重新搭建一堆的开发环境。之前逐渐做的设置很多都不记得了。这里对windbg和vmware双机调试环境搭建做一个简单的备忘这里vmware里目标系统是winxp，win7的设置是不一样的。1.设置windbg的符号路径，File -> symbol File Path 然后填入.;C:\Windows\symbols;SRV*C:\mysymbols

现在网络上越来越流行使用虚拟光驱，由于虚拟光驱的使用，使得越来越多的PC拥有很以前所无法想象的特殊功能，如：1． 应用虚拟光驱能够使没有dvd的用户直接使用网上可以下载的dvd镜像来欣赏dvd的影片。2． 通过光盘镜像复制工具制作的光盘可以不必使用低速的刻录设备刻录而直接使用3． 最实用的一点，借助虚拟光驱，可以模拟各种加密的光盘模式，即使在正版光盘不在身边的情况下也能使用。（对熟悉网

近来学习 Windows 内核方面的东西，觉得对 I/O 处理过程没有一个总体的概念。于是，就花了很长的时间搜集了很多这方面的知识总结了一下。      在 Windows 内核中的请求基本上是通过 I/O Request Packet 完成的。前面说过，设备对象是唯一可以接受请求的实体。下面，我就来详细地说下 IRP 请求是怎么样一步一步完成的。      首先，我们就需要知道 IR

IntroductionA lot of articles have been investigating in application layer issues, like skin-based dialogs, MFC, ATL, thread, process, registry etc. It won't be easy to find any driver related artic

第二章：WDM驱动程序的基本结构在第一章中，我介绍了Windows 2000和Windows 98操作系统的基本架构。我引入这样一个概念：设备驱动程序是一个包含了许多操作系统可调用例程的容器，这些例程可以使硬件设备执行相应的动作。本章将描述驱动程序容器应包含的基本内容、驱动程序的层次结构，还将讲述DriverEntry和AddDevice函数，这两个函数存在于每个WDM驱动程序中。

在驱动程序中，经常会调用其他的驱动程序；其中，手动构造 IRP ，然后将 IRP 传递到相应驱动程序的派遣函数中是一种比较简单的方法，下面就来介绍下手动创建 IRP 的几种不同的方法及其特点。         创建 IRP 总共有 4 种方法。分别通过调用： IoBuildSynchronousFsdRequest 、 IoBuildAsynchronousFsdRequest 、 IoB

Windows Driver Mode 1[返回][下一章]第一章：导言 以某种观点来看，Windows 2000或Windows 98都是由一个操作系统核心和多个驱动程序组成，这些驱动程序与系统中的硬件相对应。本书的内容全部都是关于驱动程序及其相关的技术。操作系统概述Windows 2000驱动程序例子代码本书的结构其它资源注意事项

知道很多朋友都想学windows驱动,我也是个新手,看了WDM设备驱动开发,结合了DDK,终于写了个简单的虚拟设备驱动,其实可以单独用DriverStudio或DDK的,我之所以这样用主要是利用DriverStudio的调试方便,以及DDK的强大,不知道这样说是否正确哈,下面都是c程序,在此贴出我的源码以便大家相互学习相互进步哈,如有问题不吝请教哈#ifndef __Ioctl__h_

[This documentation is preliminary and is subject to change.]This topic provides an overview of the Universal Serial Bus (USB) driver stack architecture.The following figure shows the architectu

[This documentation is preliminary and is subject to change.]A Universal Serial Bus (USB) device defines its capabilities and features through configurations, interfaces, alternate settings, and end

Drivers for the Supported USB Device ClassesThis topic lists the Microsoft-provided class drivers for the supported USB device classes.Device classes are categories of devices with similar chara

This section describes each kind of device object and mentions when each is created.The following figure shows the possible kinds of device objects that can be attached in a device stack, representi

带U盘功能的的USB接口设备已经越来越常见了。如果能够把产品说明书或者产品设备驱动程序做成一个USB CDROM，那该多方便。      假设：        你已经有了USB mass storage驱动。你的任务是在此基础上增加一个USB CDROM。        请在手边准备好：USB2.0协议，Mass storage协议，SCSI协议（可以忽略）。此外，你需要一个deb

相当不错的说明class driver、miniport driver、port driver的文章。 miniport, port driver,disk.sys 之间关系驱动程序由CLASS DRIVER,PORT DRIVER,MINIPORT,三部分组成,从层次上来说,LCASS DRIVER是针对几大类设备的驱动,比如存储设备驱动,就可以通过一个CLASS DRIVER来

DPC究竟是什么DPC是“Deferred Procedure Call”的缩写，意为推迟了的过程（函数）调用。这是因为，逻辑上应该放在中断服务程序中完成的操作并非都是那么紧迫，其中有一部分可能相对而言不那么紧迫，而又比较费时间，实际上可以放在开中断的条件下执行。如果把这些操作都放在中断服务程序中，就会使关闭中断的时间太长而引起中断请求的丢失，因为整个中断服务程序通常都是在关中断的条件下执行的

http://www.cxy.me/doc/4434.htm NT内核中ＩＲＰ的cancel是一个复杂的问题，很容易出错导致系统崩溃，ddk中的文档其实对这部分说的很详细，只是需要认真体会，osr网站上以前在NT insider杂志中有过２篇文章研究这个问题，总结这些资料，写个贴子罐水如下：１．为什么要取消irp？ddk文档中说的很清楚：＂Any driver in which I