驱动
关注
分享
扫一扫
西伯利亚的寒流
这个作者很懒,什么都没留下…
展开
-
修改pe入口方式拦截驱动加载
修改pe入口方式拦截驱动加载,驱动加载起来了,但是立即退出。原创 2015-10-28 17:21:42 · 1722 阅读 · 0 评论 -
内核编程环境搭建
学信息安全的搞内核编程先把GRMWDK_EN_7600_1,srvinstw,DebugView这三样东西凑齐了,虽然不好找。推荐书《windows内核编程与信息安全》先把前面照着做:(下载的地址 书上有些失效了 自己去找)1.在WDK 安装之后,点击开始菜单->“所有程序”,会发现增加了“Windows Driver Kits”和“Windows Driver Kits Document原创 2013-07-13 15:34:02 · 727 阅读 · 0 评论 -
驱动中解析pe文件之pdb
驱动中解析pe文件的pdb,一切尽在代码中,本博客不负责科普,能立即用的代码你都有了,头文件、结构体、注释都整理好你还想要啥?CreateMapFileAndGetBaseAddr()的定义就看我下一篇文章。 #include <ntifs.h>#include <windef.h>#include "ntimage.h"#define NB10...原创 2016-09-25 14:53:57 · 2752 阅读 · 4 评论 -
驱动内存映射文件
驱动内存映射文件,一切尽在代码中,各位老爷请看: // 内存映射文件,返回基址 // 用完记得ZwUnmapViewOfSection(ZwCurrentProcess(), BaseAddress);PVOID CreateMapFileAndGetBaseAddr(PUNICODE_STRING FilePath, PSIZE_T Size){#define SE...原创 2016-09-25 14:58:28 · 1312 阅读 · 0 评论 -
驱动中占用文件
有解锁内核文件句柄还不是因为有人恶意占用,对抗有点意思,到了最后,技术相生相克,很多时候不是程序对抗,是人和人。 BOOLEAN HoldFile(PUNICODE_STRING FileName){ NTSTATUS Status; HANDLE hFile; OBJECT_ATTRIBUTES oa; IO_STATUS_BLOCK ioStatus = ...原创 2016-09-25 15:22:14 · 636 阅读 · 0 评论 -
驱动中检查应用层地址有效
之前有个驱动,其中有个功能要用到解析pe结构,传入个imagebase基地址然后解析这个pe文件结构返回信息。后来一个同事维护了一段时间,他辞职之后,测试的告诉我功能失效了,我就把代码拿过来看了看,原来这家伙误用了一个函数MmIsAddressValid,他在解析PE结构的时候,用了一个函数MmIsAddressValid,我看他的意思是想判断一个地址是否有效就用,这个函数名字看起来好像是这个意思...原创 2016-09-25 14:30:51 · 2033 阅读 · 0 评论 -
驱动中枚举和关闭内核句柄
WIN64AST的作者之前发布了一些教程,里面有关于关闭内核句柄的介绍,但是他忘了一件事,所以那份代码并不能真正的关闭内核句柄,而且他的代码。。。不敢用在项目里。有人在看雪上问过类似问题,我也回答过,在vista之后,windows会检查内核句柄值得有效性,也就是为什么下面我提供的代码中会有这一行:*(PULONG64)HandleValue |= (ULONG64)KERNEL_HANDLE...原创 2016-09-25 15:11:52 · 2325 阅读 · 1 评论 -
内核读写锁
内核读写锁原创 2016-11-22 15:14:18 · 765 阅读 · 0 评论