Windows编程
Windows内核及安全开发技术交流
主题数
18
今日贴子
0
今日主题
0
|
-
分享别人写的老代码,驱动保护进程
<pre class="language-cpp"><code>#include <ntddk.h> #include <windef.h> #include <stdlib.h>847 16 1 3天前 · gusong125 -
VS2013+WDK8.1 驱动开发环境配置 驱动编程
<div class='markdown-body'><p>Windows Driver Kit 是一种完全集成的驱动程序开发工具包,它包含 WinDDK 用于测试 Windows 驱动器的可靠性和稳定性,本次实验使用的是 WDK8.1 驱动开发工具包,该…56 1 0 7天前 · lypdl -
进程隐藏(防蓝屏版)
<div class='markdown-body'><pre><code>#include <Ntifs.h>// 未导出函数// 用于增加或删除驱动链表中的某一元素typedef VOID(*pMiProcessLoade498 1 1 12天前 · gs666 -
内核测试模式过DSE签名 驱动编程
<div class='markdown-body'><p>微软在 x64 系统中推出了 DSE 保护机制,DSE全称 (Driver Signature Enforcement) ,该保护机制的核心就是任何驱动程序或者是第三方驱动如果想要在正常模式54 0 0 -
WinDBG 配置内核双机调试 驱动编程
<div class='markdown-body'><p>WinDBG 是在 windows 平台下,强大的用户态和内核态调试工具,相比较于 Visual Studio 它是一个轻量级的调试工具,所谓轻量级指的是它的安装文件大小较小,但是其调试功能31 0 0 -
windbg常用命令总结 驱动编程
<div class='markdown-body'><p>Windbg是Microsoft公司免费调试器调试集合中的GUI的调试器,支持Source和Assembly两种模式的调试。Windbg不仅可以调试应用程序,还可以进行Kernel Debu36 0 0 -
WIN64系统上定位未导出的Zw函数
<div class='markdown-body'><p>WIN64(2003、7、8、8.1)系统上所有nt!Zw函数,都是32个字节:</p><pre><code>2003=======lkd> u n266 0 0 -
数字签名禁用了系统还是提醒一些内容
<div class='markdown-body'><p>解决方案,注册表,本地组策略,</p><p>1.首先还是把禁用数字签名的两种方案写上以管理员运行cmd输入bcdedit.exe -set ladoptios DDI211 0 0 -
HOOK KiFastCallEntry代码
<div class='markdown-body'><pre><code>#include <ntddk.h>ULONG d_origKiFastCallEntry; // Original value of ntoskrn285 0 0 -
科普一下在驱动中如何调用Zw***未导出函数
<div class='markdown-body'><p>1.申请一块长达31字节的可执行NonPagedPool内存2.从ZwOpenProcess的起始地址开始复制31字节到上面Buffer3.修正标蓝的代码(计算出KiServiceLinka310 0 0 -
RING3 64位进程注入DLL到32位进程
<div class='markdown-body'><p>只需要拿到32位的kernel32!LoadLibraryA,然后使用普通手段(CreateRemoteThread)注入即可。</p><pre><code&g390 0 0 -
Ring3全局禁止进程创建(x64)
<div class='markdown-body'><pre><code>LPVOID AddressOfCreateProcess=NULL;BYTE OriCode[3]={0x0,0x0,0x0};BYTE NewCode[3]=280 0 0 -
一份兼容32位和64位的MmGetSystemRoutineAddressEx实现
<div class='markdown-body'><p>获得任意模块任意导出函数的地址,不再受限于MmGetSystemRoutineAddress的鸡肋功能。代码从WRK里摘出。</p><pre><code>196 0 0 -
遍历系统中所有的驱动对象
<div class='markdown-body'><p>原理 </p><p>首先我们要知道驱动加载后, 会向对象目录表中的\driver 与\FileSystem 写入 驱动服务名, 那么我们只需要遍历这两张表拿到名296 1 0 6月前 · 妮妮 -
无句柄获取进程路径(无硬编码/代码10行/兼容WIN64)
<div class='markdown-body'><p>首先明确一个事实,EPROCESS内部的一个成员(这里应该说是“EPROCESS的成员的成员的成员的成员”更为准确)名为FileObject,它记录了进程的路径。通过IoQueryFileD332 0 0 -
Windows内核编程学习路线及书籍推荐
<div class='markdown-body'><p><img src="https://www.driverentry.net/upload/images/202209/21_10_55_41963.png" alt="" />&582 0 1