Win64 驱动内核编程-7.内核里操作进程

在内核里操作进程 在内核里操作进程,相信是很多对 WINDOWS 内核编程感兴趣的朋友第一个学习的知识点。但在这里,我要让大家失望了,在内核里操作进程没什么特别的,就标准方法而言,还是调用...

2019/11/15 13:59
9
Windows内核驱动EPROCESS遍历进程模块

包含的头文件 #include <ntifs.h> #include <ntstrsafe.h> 声明的API函数 NTKERNELAPI HANDLE PsGetProcessInheritedFromUniqueProcessId(IN PEPROCESS Process); NTKERNELAPI PPEB_EX PsGet...

2019/11/15 10:48
52
PsLookupProcessByProcessId function

The PsLookupProcessByProcessId routine accepts the process ID of a process and returns a referenced pointer to EPROCESS structure of the process. Syntax C++ NTSTATUS PsLookupPro...

2019/11/15 10:45
144
WDK驱动编译错误CN=WDKTestCert>

rror Invalid argument <CN="WDKTestCert Qis,132035943314435562" | 25C85585B7D0F973D43F7931BDACA9954EBED57A> for property <TestCertificate>. TBC_Driver C:\Program Files (x86)\Wind...

2019/11/13 21:57
40
delphi版插apc杀进程驱动源码

从c代码转的,备份一下,里面有硬编码 unit MyDriver; {$HINTS OFF} {$WARNINGS OFF} interface uses nt_status, ntoskrnl, native, winioctl, fcall, macros; type TKILL = record PID: DW...

2019/11/12 15:51
10
vc支持asm最简单方法

工程-右键-生成依赖-选中masm-确定 在asm文件右键-项类型-选择Microsoft Macro Assembler-确定

2019/11/08 17:32
9
Kernel to User land: APC injection

When running in Kernel mode, it may be necessary to inject code into a User-land process. There are two ways that Asynchronous Procedure Calls (APCs) can be used to accomplish t...

2019/11/05 18:31
66
Windows APC机制 & 可警告alertable的线程等待状态

摘要:Windows APC的全称为(asynchronous procedure call)翻译为中文即“异步过程调用”。《Windows APC机制(一)》、《谈谈对APC的一点理解》、《线程的Alertable与User APC》主要阅读了这...

2019/11/01 17:37
13
QueueUserAPC function

Adds a user-mode asynchronous procedure call (APC) object to the APC queue of the specified thread. Syntax C++ DWORD QueueUserAPC( PAPCFUNC pfnAPC, HANDLE hThread, ULONG_PTR dwD...

2019/11/01 17:23
11
设备驱动程序通知应用程序的几种方法

摘要 在目前流行的Windows操作系统中,设备驱动程序是操纵硬件的最底层软件接口。为了共享在设备驱动程序设计过程中的经验,给出设备驱动程序通知应用程序的5种方法,详细说明每种方法的原理和实...

2019/11/01 16:42
34
Dll注入技术之驱动注入

0x0 技术简介 实现环境 系统:Windows 7 64bit 工具:VS+WDK 驱动注入 我这里驱动注入的技术是:采用驱动向目标进程插入APC执行LdrLoadDll函数加载Dll模块。 可以注入64位Dll到64位进程或注入...

2019/11/01 16:42
30
PsSetCreateProcessNotifyRoutineEx STATUS_ACCESS_DENIED IMAGE_DLLCHARACTERISTICS_FORCE_INTEGRITY

PsSetCreateProcessNotifyRoutineEx 返回 STATUS_ACCESS_DENIED(0xC0000022L,即‭-1073741790‬) 需要设置pe文件的 DllCharacteristics 字段为IMAGE_DLLCHARACTERISTICS_FORCE_INTEGRITY PE...

2019/11/01 15:15
128
UNREFERENCED_PARAMETER的作用

UNREFERENCED_PARAMETER 的作用 2007年06月16日 星期六 14:38 我们从 UNREFERENCED_PARAMETER 开始吧。这个宏在 winnt.h 中定义如下: #define UNREFERENCED_PARAMETER(P) (P)   换句话说 ...

2019/11/01 09:17
23
64位内核开发第五讲,调试与反调试

目录 反调试与反反调试 一丶反调试的几种方法 1.DebugPort端口清零 2.KdDisableDebugger 3.ring3下的 isDebuggerpresent和CheckRemoteDebuggerPresent 4.使用Hook手段. 二丶反反调试 1.针对D...

2019/11/01 09:12
50
sysenter/sysexit 原理

1.从ring0到ring3最开始是用的int2E,此模式切换过程设计很多次内存访问,还有两次查表操作机访问权限的检查,这导致模式切换的开销很大从PentiumII 处理器开始,Inter引入了新的指令sysente...

2019/10/29 17:58
23
应用程序与驱动程序通信 DeviceIoControl

之前写过一篇关于通过DeviceIoControl函数来使应用程序与驱动程序通信的博客,这次再通过这个完整的代码来简要疏通总结一下。   这种通信方式,就是驱动程序和应用程序自定义一种IO控制码,...

2019/10/12 10:57
72
How to register a software interrupt with Windows KMDF?

Registering a software interrupt results in the interrupt descriptor table (IDT) being modified for the running operating system. Windows has Kernel Patch Protection (KPP) / Pat...

2019/10/11 17:36
26
PagedPool 和 NoPagedPool的区别

PoolType在 MSDN的介绍上有 N 种, 其实常用的只有 2 种: PagedPool 和NonPagedPool。PagedPool是分页内存,简单来说就是物理内存不够时,会把这片内存移动到硬盘上,而NonPagedPool是无论物...

2019/10/11 10:11
36
Windows错误码大全error code

0000 操作已成功完成。 0001 错误的函数。 0002 系统找不到指定的文件。 0003 系统找不到指定的路径。 0004 系统无法打开文件。 0005 拒绝访问。 0006 句柄无效。 0007 存储区控制块已损坏。...

2019/10/10 15:31
327
动态载入ring0代码

安装驱动,启动驱动,可以动态载入ring0代码。 但是,每次都要签名,安装,启动,而且每次写驱动还都要写一大堆框架得代码,比如irp的dispatche函数配置,扩展数据结构等。 于是,我打算设计...

2019/10/10 14:20
62

没有更多内容

加载失败,请刷新页面