驱动
关注
分享
扫一扫
guyuntech
这个作者很懒,什么都没留下…
展开
-
Windows内核遍历驱动模块源码分析
要获取windows 内核中所有驱动模块信息,调用 系统服务函数 NtQuerySystemInformation,参数SystemInformationClass 传入SystemModuleInformation. NtQuerySystemInformation申明如下://// System Information Classes.//typedef enum _S原创 2012-08-02 22:09:15 · 2530 阅读 · 0 评论 -
内核遍历进程中所有的线程
KPROCESS结构体中的_LIST_ENTRY 类型成员ThreadListHead将KTHREAD链接起来,通过遍历ThreadListHead获得每个线程指针._KPROCESS 结构体的内容为:_KTHREAD 结构体的内容为: 如需判定线程是否可以插入一个APC(异步过程调用),可以检测_KTHREAD 结构体偏移量0x164的Alertable, Alerta原创 2012-08-09 11:53:26 · 3689 阅读 · 0 评论 -
驱动逆向学习笔记
驱动DriverEntry函数实现体中,开发人员通常会在DriverObject->MajorFunction中填写分发函数指针。为快速识别每一个分发函数,特别记录常用的分发函数指针距DriverObject指针的偏移量DriverObject+0x34 DriverUnloadDriverObject+0x38 DeviceCreateDriverObject+0x40原创 2012-08-31 09:40:06 · 1535 阅读 · 0 评论