- 博客(5)
- 收藏
- 关注
RSS订阅原创 应用程序获得USB设备插入或者拔出通知
系统设备变化,系统向应用程序发出WM_DEVICECHANGE消息,应用程序注册一个消息处理函数,来获取设备变化通知.unit Unit1; interface uses Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
2013-04-02 17:46:26
1910
原创 VC 不定参数函数 实现
程序调试中,使用OutputDebugString把日志信息显示在Windbg中,OutputDebugString函数申明如下:void WINAPI OutputDebugString( _In_opt_ LPCTSTR lpOutputString);该函数仅支持录入一个字符串字针。面在实际使用中,常常要用到格式化字符串,为方便使用,我在此实现一个不定参数
2013-04-02 11:03:30
823
原创 驱动逆向学习笔记
驱动DriverEntry函数实现体中,开发人员通常会在DriverObject->MajorFunction中填写分发函数指针。为快速识别每一个分发函数,特别记录常用的分发函数指针距DriverObject指针的偏移量DriverObject+0x34 DriverUnloadDriverObject+0x38 DeviceCreateDriverObject+0x40
2012-08-31 09:40:06
1535
原创 内核遍历进程中所有的线程
KPROCESS结构体中的_LIST_ENTRY 类型成员ThreadListHead将KTHREAD链接起来,通过遍历ThreadListHead获得每个线程指针._KPROCESS 结构体的内容为:_KTHREAD 结构体的内容为: 如需判定线程是否可以插入一个APC(异步过程调用),可以检测_KTHREAD 结构体偏移量0x164的Alertable, Alerta
2012-08-09 11:53:26
3689
原创 Windows内核遍历驱动模块源码分析
要获取windows 内核中所有驱动模块信息,调用 系统服务函数 NtQuerySystemInformation,参数SystemInformationClass 传入SystemModuleInformation. NtQuerySystemInformation申明如下://// System Information Classes.//typedef enum _S
2012-08-02 22:09:15
2529
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人