博客模版

转自http://blog.youkuaiyun.com/purplethunder/archive/2008/03/24/2214866.aspx  d族命令：显示变量的命令：dda-----ASCII characters.Db----Byte values and ASCII characters.dc-----Double-word values (4 bytes) a

环境：WinXP我们在拦截进程启动时，会去拦截ZwCreateProcess函数，然后在中间获取启动进程的了全路径，判断进程是否合法。首先看下ZwCreateProcess函数的原型如下：其中我们主要是利用SectionHandle参数，通过ObReferenceObjectByHandle获取文件对象，然后再利用ObQueryNameString函数进行刷新文件名缓存

第一部分（步骤）：先统一名称，真实的操作系统叫HostOS，在VMware里虚拟的操作系统叫GuestOS。1.在VMware里安装好GuestOS；下载WinDBG并安装好。2.添加一个串口在关闭GuestOS的情况下才能添加硬件。添加串口的过程如下：选择“串行端口”选择“输出命名管道”其他如下设置：

转载于：http://www.cnblogs.com/lzjsky/archive/2010/12/14/1905248.html一、安装环境主机：Windows Vista Bussiness 虚拟机：VMware 7 GUestOS: Win7 Windbg: 6.11  二、虚拟机配置打开相应 vmware 虚拟机上的 “Virtaul Machine Settings“

在尝试运行《竹林蹊径 深入浅出Windows驱动开发》的第一个例子-HelloDRIVER时，在XP下没有问题，但在Win7下却发生蓝屏，蓝屏发生点在于卸载函数DriverUnload。先看看卸载驱动的代码VOID DriverUnload ( __in PDRIVER_OBJECT DriverObject ){ PDEVICE_OBJECT deviceObj

在进行内核程序开发过程，我们可能会碰到这个错误。这个错误在编译（Compile阶段）表示正常执行，但是在链接（link阶段）就出出现。另外以一种表现形式为error LNK2001: unresolved external symbol @__security_check_cookie@4。原因分析：上述错误解析为：链接阶段有不能识别的解析符号出现，这是因为microsft自从vs2002

一般驱动层开发都会调用到ntoskrnl,ntdll导出的API，如果直接使用的话，会报identifier not found的错误。其实API已经实现了，我们的驱动是有内核负责加载的，应该就可以读取到，所以加个声明，如：如果是ntoskrnl导出的声明API前加NTKERNELAPI如果是ntdll导出的声明前加NTSYSAPI如：NTKERNELAPINT