峥嵘岁月

    现在我们结合Regmon(http://www.sysinternals.com/)在NT中的实现方法再来谈谈Windows NT/2000内部数据结构。    Regmon是监视应用程序访问系统注册表的实用程序。大家都知道在应用程序中使用注册表一般都调用WinAPI Regxxx，而Regxxx最终会调用Native API Zwxxx!(参阅Windows NT/2000 DDK

文摘出处：http://www.xfocus.net/articles/200412/765.html创建时间：2004-12-23文章属性：原创文章提交：SoBeIt (kinsephi_at_hotmail.com)Windows内核调试器原理浅析                                                                    

在做Windows内核驱动程序调试的时候，经常遇到需要以Boot模式启动的驱动程序，虽然将内核调试器SoftICE的启动模式设置为Boot（早期Boot）时能够拦截到驱动程序的DriverEntry执行入口（不过据我的经验，好像并不能成功的拦截到DriverEntry，而需要将INT 3中断硬编码到驱动程序中，不过不管怎样，总有办法让程序停在DriverEntry的入口处），但是此时看到的调试界面

开发Windows下的驱动程序，特别是启动模式为BOOT模式的驱动程序，经常不慎搞死自己使用的系统，因此采用VMWare虚拟各种版本的Windows系统，并在这些虚拟的系统当中调试驱动程序将是十分理想的方式，因此必须解决在虚拟机里面安装使用SoftICE的问题，本来这个问题对于最新版本的DriverStudio3.2套件中自带的SoftICE并不复杂，但是每次安装以后都会发现用CTRL＋D无法呼出

概要本文分步介绍了如何检查小存储器转储文件。使用该文件，可以确定计算机停止响应的原因。小存储器转储文件小存储器转储文件记录可帮助确定计算机为什么意外停止的最小的有用信息集。此选项要求启动卷上有一个至少为 2 MB 的页面文件。在运行 Microsoft Windows 2000 或更高版本的计算机上，计算机每次意外停止时 Windows 都会新建一个文件。这些文件的历史记录存储在一个文件夹中。

Inside WINDOWS NT Object Manager=====================================                                                                                  Заточенное само в себе                         

内核反汇编技术===============================Windows  NT主要是由C写成的，所以总的来说进程本身的反汇编不是很复杂。通常对局部变量和参数的使用是通过地址和用EBP形成的stack frame来进行的。例如：PAGE:801932D4    mov     eax, large fs:0PAGE:801932DA    push    ebpPAGE:

标 题: SoftICE技巧九则发帖人:shacksing时 间: 2005-03-14 09:33 原文链接:http://bbs.pediy.com/showthread.php?threadid=12036 详细信息:   SoftICE技巧九则ShackSingsharksing@163.com SoftICE是由美国 Compuware （NU

内存与进程管理器==========================                                   But I fear tomorrow Ill be crying,                                   Yes I fear tomorrow Ill be crying.                      

系统调用接口===========================                              Я смотрел на снег весь день... Падающий...                              Всегда вниз. Падающий весь день.                              И т

研究CreateProcess==========================                                  Может быть я всегда знал                                  Мои хрупкие мечты будут разбиты ради тебя...                       

    WINDOWS系统隐含了不少内部数据结构,其记录着与系统相关的所有重要信息如线程、进程、内核调用等等，具体如Windows NT/2000模块ntoskrnl.exe中的NtBuildNumber与KeServiceDescriptorTable等(用SoftICE或Visual Studio所带的Dependency Walker之类的可以看到),前者只是指出当前Windows的Buil

解读Windows 2000/XP分层驱动模型            WebCrazy(http://webcrazy.yeah.net)    可扩展性是Windows NT/2000/XP设计的目标之一，其分层驱动模型是可扩展性的最好体现。实现分层依赖于IO管理器的两个重要的设计：1、Windows中的任何一个驱动程序都被设计成Client/Server模式。对于客户端驱动，通过IoGet

INTRO (写给NT研究者)=============================                                             Мы всего лишь момент во времени                                             Отблеск в глазах,                

借助VMware实现单机使用WinDbg 作者: JIURL                  主页: http://jiurl.yeah.net/      日期: 2003-10-3  --------------------------------------------------------------------------------     调试器中，SoftICE可以说是