内核安全
关注
分享
扫一扫
文章平均质量分 76
wjcsharp
这个作者很懒,什么都没留下…
展开
-
windows消息处理机制
<br /> <br /> 什么是消息<br /> 消息,就是指Windows发出的一个通知,告诉应用程序某个事情发生了。例如,单击鼠标、改变窗口尺寸、按下键盘上的一个键都会使Windows发送一个消息给应用程序。消息本身是作为一个记录传递给应用程序的,这个记录(一般在 C/Java/汇编 中称为“结构体”)中包含了消息的类型以及其他信息。例如,对单击鼠标所产生的消息来说,这个记录(结构体)中包含了单击鼠标的消息号(WM_LBUTTONDOWN)、单击鼠标时的坐标(由X,Y值连接而成的一个32位整数)。这原创 2011-02-21 12:31:00 · 920 阅读 · 0 评论 -
ListEntry 遍历宏
#define MySearchList(pHdr, Ptr) \ for ( Ptr = (pHdr)->Flink; Ptr != (pHdr); Ptr = Ptr->Flink )if ( ARGUMENT_PRESENT(InstanceId) ) { MySearchList (&AdvFcbHeader->FilterContext原创 2013-09-05 18:23:42 · 1348 阅读 · 0 评论 -
windbg 查看设备信息
1. 相关命令!devobj 查看设备对象信息!drvobj 查看驱动对象信息!devstack 查看设备栈2. 系统设备树!devnode 0 1kd> !devnode 0 1Dumping IopRootDeviceNode (= 0x865b1ee8)DevNode 0x865b1ee8 for PDO 0x865b1020 InstancePath i原创 2013-09-05 17:57:47 · 4850 阅读 · 0 评论 -
文件过滤驱动开发
看了 ChuKuangRen 的第二版《文件过滤驱动开发教程》后,颇有感触。我想,交流都是建立在平等的基础上,在抱怨氛围和环境不好的同时应该先想一想自己究竟付出了多少?只知索取不愿付出的人也就不用抱怨了,要怪也只能怪自己。发自己心得的人无非是两种目的,一是引发一些讨论,好纠正自己错误的认识,以便从中获取更多的知识使自己进步的更快。二是做一份备忘,当自己遗忘的时候能够马上找到相关资料转载 2013-09-02 11:59:56 · 1040 阅读 · 0 评论 -
文件过滤驱动
由于项目需要,这十天做了个Windows文件过滤驱动, 感觉windows下的驱动也不是那么的神秘, Mirosoft可以说是把API做到了极致(尽管有时真的是没必要), 他们喜欢把API包装了又包装, 不让你看清楚底层的东西. 不过另一方面, 调用这些API也是挺方便的(当然了,API多了,有些API会有些Bug也是在所难免的,比如ObQueryNameString). 由于是零基础开始做这转载 2013-09-02 12:08:05 · 1042 阅读 · 1 评论 -
文件过滤
author: jonathan本文档的CopyRight归jonathan所有,可自由转载,转载时请保持文档的完整性。/*---------------------------------------------------------------------------------------------------------------------*/1 杂谈1转载 2013-09-02 14:10:15 · 1146 阅读 · 0 评论 -
About ntoskrnl 版本
"NTKRNLMP.EXE vs NTKRNLMP.EXE vs NTKRNLMP.EXE" Included is the "explanation" from wikipedia:Names of kernelNTOSKRNL.EXE : 1 CPUNTKRNLMP.EXE : N CPU SMPNTKRNLPA.EXE : 1 CPU, PAE转载 2013-08-13 14:40:17 · 755 阅读 · 0 评论 -
Windows CSRSS API Table
Windows CSRSS API Table (NT/2000/XP/2003/Vista/2008/7)Author: j00ru (j00ru.vx tech blog)Team VexilliumSpecial thanks to: Woodmann, Deus, Gynvael Coldwind, Alex, Edi StrosarBaseServer转载 2013-08-07 12:31:50 · 1095 阅读 · 0 评论 -
文件读操作过程探究
R3->R0 过程R0读取文件过程相关内核对象a) fileobjectkd> dt fltobjectsLocal var @ 0xee55eb0c Type _FLT_RELATED_OBJECTS*0xee55ebcc +0x000 Size : 0x18 +0x002 TransactionContext :原创 2013-07-01 10:31:43 · 973 阅读 · 0 评论 -
How NTFS Works
<br />Updated: March 28, 2003<br />Applies To: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2<br />How NTFS Works<br />In this sectionNTFS Architecture<br />NTFS Physical Structure<br />NTFS Processe原创 2011-04-13 14:04:00 · 2286 阅读 · 0 评论 -
File Caching
By default, Windows caches file data that is read from disks and written to disks. This implies that read operations read file data from an area in system memory known as the system file cache, rather than from the physical disk. Correspondingly, write ope原创 2011-04-13 13:53:00 · 1027 阅读 · 0 评论 -
windows 内存管理之 Section and View
http://msdn.microsoft.com/en-us/library/windows/hardware/ff563684(v=vs.85).aspx转载 2014-09-25 18:50:02 · 949 阅读 · 0 评论