Windows程序设计
Windows内核及安全开发技术交流
主题数
18
今日贴子
0
今日主题
0
-
解决WDK7里没有intrin.h的问题 驱动编程
Theme: Solve the problem of missing "intrin.h" in WDK7. Thema: Lösen das Problem des fehlenden "intrin.h" in WDK7. WDK7有个奇怪的B382 0 -
内核测试模式过DSE签名 驱动编程
微软在 x64 系统中推出了 DSE 保护机制,DSE全称 (Driver Signature Enforcement) ,该保护机制 的核心就是任何驱动程序或者是第三方驱动如果想要在正常模式下被加载则必须要经过微软的认证,当 驱动程序被加载到内存时963 0 -
WinDBG 配置内核双机调试 驱动编程
WinDBG 是在 windows 平台下,强大的用户态和内核态调试工具,相比较于 Visual Studio 它是一个 轻量级的调试工具,所谓轻量级指的是它的安装文件大小较小,但是其调试功能却比VS更为强大, WinDBG由于是微软的产品所以能够调909 0 -
windbg常用命令总结 驱动编程
Windbg是Microsoft公司免费调试器调试集合中的GUI的调试器,支持Source和Assembly两种模式的调 试。Windbg不仅可以调试应用程序,还可以进行Kernel Debug。结合Microsoft的Symbol Server,可838 0 -
VS2013+WDK8.1 驱动开发环境配置 驱动编程
Windows Driver Kit 是一种完全集成的驱动程序开发工具包,它包含 WinDDK 用于测试 Windows 驱动 器的可靠性和稳定性,本次实验使用的是 WDK8.1 驱动开发工具包,该工具包支持 Windows 7到 Windows 10 系1.03k 2 2023-4-8 · gusong125 -
数字签名禁用了系统还是提醒一些内容
解决方案,注册表,本地组策略, 1.首先还是把禁用数字签名的两种方案写上 以管理员运行cmd输入 bcdedit.exe -set ladoptios DDISABLE_INTEGRITY_CHECKS1.1k 0 -
HOOK KiFastCallEntry代码
#include ULONG d_origKiFastCallEntry; // Original value of ntoskrnl!KiFastCallEntry VOID OnU1.12k 0 -
科普一下在驱动中如何调用Zw***未导出函数
1.申请一块长达31字节的可执行NonPagedPool内存 2.从ZwOpenProcess的起始地址开始复制31字节到上面Buffer 3.修正标蓝的代码(计算出KiServiceLinkage和KiServiceInternal的地址,并填入正确的s1.18k 0 -
RING3 64位进程注入DLL到32位进程
只需要拿到32位的kernel32!LoadLibraryA,然后使用普通手段(CreateRemoteThread)注入即可。 typedef struct _IAT_EAT_INFO { char M1.42k 0 -
Ring3全局禁止进程创建(x64)
LPVOID AddressOfCreateProcess=NULL; BYTE OriCode[3]={0x0,0x0,0x0}; BYTE NewCode[3]={0x90,0xc3,0x90}; vo1.09k 0 -
一份兼容32位和64位的MmGetSystemRoutineAddressEx实现
获得任意模块任意导出函数的地址,不再受限于MmGetSystemRoutineAddress的鸡肋功能。代码从WRK里摘出。 PVOID MiFindExportedRoutine2 ( IN PVOID Dll1.04k 1 1月前 · bbc -
遍历系统中所有的驱动对象
原理 首先我们要知道驱动加载后, 会向对象目录表中的\driver 与\FileSystem 写入 驱动服务名, 那么我们只需要遍历这两张表拿到名称, 通过ObReferenceObjectByName函数即可获取驱动对象。而在这里我们可以1.33k 1 2022-9-26 · 妮妮 -
进程隐藏(防蓝屏版)
``` #include // 未导出函数 // 用于增加或删除驱动链表中的某一元素 typedef VOID(*pMiProcessLoaderEntry)( IN PVOID1.86k 2 5月前 · kai741101314 -
无句柄获取进程路径(无硬编码/代码10行/兼容WIN64)
首先明确一个事实,EPROCESS内部的一个成员(这里应该说是“EPROCESS的成员的成员的成员的成员”更为准确)名为FileObject,它记录了进程的路径。通过IoQueryFileDosDeviceName查询FileObject的信息即可获得进程路径。所以,获取进程路径…1.35k 0
大理寺少卿
UID 1517 五级用户组 11天前
主题数:21
帖子数:3
大理寺少卿
UID 1517 五级用户组 11天前
主题数:21
帖子数:3
大理寺少卿
UID 1517 五级用户组 11天前
主题数:21
帖子数:3
大理寺少卿
UID 1517 五级用户组 11天前
主题数:21
帖子数:3
大理寺少卿
UID 1517 五级用户组 11天前
主题数:21
帖子数:3
大理寺少卿
UID 37 一级用户组 4月前
主题数:2
帖子数:3
admin
UID 1 管理员组 13天前
主题数:96
帖子数:66
admin
UID 7 一级用户组 7月前
主题数:25
帖子数:1
admin
UID 7 一级用户组 7月前
主题数:25
帖子数:1
admin
UID 7 一级用户组 7月前
主题数:25
帖子数:1
admin
UID 7 一级用户组 7月前
主题数:25
帖子数:1
admin
UID 7 一级用户组 7月前
主题数:25
帖子数:1
admin
UID 7 一级用户组 7月前
主题数:25
帖子数:1
admin
UID 1 管理员组 13天前
主题数:96
帖子数:66
admin
UID 1 管理员组 13天前
主题数:96
帖子数:66
admin
UID 1 管理员组 13天前
主题数:96
帖子数:66
admin
UID 1 管理员组 13天前
主题数:96
帖子数:66
admin
UID 7 一级用户组 7月前
主题数:25
帖子数:1