yuanxiaobo007的专栏

这几天在用代码加载驱动的时候，莫名其妙的StartServices启动不了，Getlasterror为2，网上找了下资料，可分为两点，一个是驱动路径用绝对路径.如：D;\\12.sys.另一个是在加载失败后调用一次驱动卸载过程!这时候再加载就可以了. /////////////////////////////////////////////////////////////////////////

毛毛虫的原作：   VOID GetProcessNameByPid(IN ULONG ulPid, OUT PUNICODE_STRING ustrProcessName) { NTSTATUS status = STATUS_SUCCESS; ULONG ulNeed = 0; PSYSTEM_PROCESSES pSystemProcess = NULL; PVOID

最近有在做一个东西，需要在ring0下拦截进程启动并注入DLL（dll用于hook ring3下的API），很多种实现方法，此处采用sudami大神提供的思路，另一位大侠提供的参考代码。虽然这个东西没什么技术含量，但对于我这种刚入门内核的人还是搞了很久才做出来，蓝屏很多，要注意很多细节. 思路：进程创建完时是一个空水壶，里面没有沸腾的热水（threads），于是系统调用NtCreateThrea

要在ring0下实现隐藏进程，hook ssdt ZwQuerySystemInFormation ,任务管理器就是调用此函数获取进程对象.传进一个进程的PID即可 // NTSTATUS MyZwQuerySystemInformation // ( // __in SYSTEM_INFORMATION_CLASS SystemInformationClass, // __inout

用VS2010 + VisualDDK +Vmware9.0 + WDK  搭建的的驱动开发环境。 在VisualDDK的target里的工作在虚拟机上安装后，会修改boot.ini文件，这时候因为VDKK的原因破坏掉boot.ini,需要自己 手动修改boo.ini，去掉里面的非法字符就正常了。 这时候还有一个问题，有很大概率在启动调试Xp的时候，会在一个界面死机，这时候可以暂停虚拟机运行