逆向学习

文章目录键盘过滤键盘过滤的框架HOOK分发函数HOOK端口驱动的回调函数HOOK键盘中断的反过滤 键盘过滤 PDO:Physical Device Object，字面意义是物理设备，暂时可以这么理解：PDO为设备栈中最下面的那个设备对象。 键盘工作原理：P121页；简述：当键盘有按键按下/松开时，将会触发中断处理函数，中断服务例程由键盘驱动提供，键盘的驱动会从端口读取扫描码，经过处理后，将获取到的...

文章目录内核漏洞的成因不要随便使用MmIsAddressVaild函数在驱动中如果要对用户态地址进行操作请使用try,__except长度为0的缓存或者为NULL的指针长度为0的缓存一个为NULL的指针缓存对齐不正确的内核函数的调用ObReferenceObjectByHandle不正确的Zw函数调用不要接受任何用户输入的内核对象传递给内核函数。给驱动程序提供功能接口需要小心 内核漏洞的成因 不要...

文章目录前言内核层强删一个文件的思路一，需要打开这个文件。二，被其它程序独占的话如何解决？三，如果该文件正在运行的话如何解决？四，构建IRP删除文件。局限性扩展——其他方法局限性扩展——其他方法 前言 本人是驱动新手，因为秋招的一些方面的原因，我最近才进行驱动方面的学习。学了一段时间后了解了一个内核强删文件的方法。 内核层强删一个文件的思路 当病毒或者木马等进行了SSDT HOOK了一些API之后...