先简单介绍下PatchGuard ,摘自百度百科PatchGuard就是Windows Vista的内核保护系统,防止任何非授权软件试图“修改”Windows内核,也就是说,Vista内核的新型金钟罩。PatchGuard为Windows Vista加入一个新安全操作层,此前我们为您介绍过的ASLR...
名词:IRP; PDO; FiDO1; FDO;
Windows 内核设计本身是不与设备交互由。设备驱动程序检测连接的设备,该设备提供的客户端功能接口与 Windows 内核间接通信。Windows 提供了一个抽象的设备支持接口调用驱动程序模型。驱动程序开发人员的工作是提供一个实现该接口已支持设备的具体要求
。设备栈(Device Stack)
设备的每一次驱...
WINDOWS内核对象原文地址:http://blog.csdn.net/misterliwei/article/details/976988 支持原创一.前言Windows中有很多像进程对象、线程对象、文件对象等等这样的对象,我们称之为Windows内核对象。内核对象是系统地址空间中的一个内存块,...
最近在阅读《寒江独钓_Windows内核安全编程》一书的过程中,发现修改类驱动分发函数这一技术点,书中只给出了具体思路和部分代码,没有完整的例子。按照作者的思路和代码,将例子补充完整,发现将驱动安装在WIN7 32位环境下,键盘失效。经调试发现,可能的原因是替换了\\Driver\\Kbdclass...
原文链接:http://blog.chinaunix.net/uid-24504987-id-161192.htmlWindows规定有些虚拟内存可以交换到文件中,这类内存被称为分页内存有些虚拟内存永远不会交换到文件中,这些内存叫非分页内存#define PAGEDCODE code_seg(“PA...
在一次操作系统课程上听老师说了这么一个有意思的东西,windows的自映射方案居然达到了把4K的页目录的线性地址“藏”在4M页表里的效果,感觉甚是奇特,于是乎就想着说怎么去算。光会算之后仍旧不满足,我又感觉对我而言有两个问题是很模糊的:为什么说0xC0300000是可行的页目录线性地址起始处?在.....
以下排名只是个人意见,如有遗漏或得罪哪位大神。请包容。况且linux内核高人我也不知道几个,暂且不论。
1、WowoCock 上海交大医学院 360 合著有两本书《天书夜读》、《寒江独钓》
2、Mark Russinovich 微软 著名的Sysinternals恐怕都知道。Filemon,Regmon等开源应用差不多影响了每个研究Windows内核人。
3、EP_XOFF Rus...
分类:
其他好文 时间:
2015-04-10 17:53:47
阅读次数:
149
windows失败的原因我觉得除了windows内核不够先进,架构漏洞多,我觉得还是windows已经没有创新能力,坐在原地吃老本。比如说msn,以前跟QQ不相上下,但是因为缺乏创新,10几年还是原地踏步,而QQ已经一日千里,进步非常大,跟原来系统已经完全不同了。原地踏步的软件系统怎么跟上日新月异的软件发展步伐呢?至于wp,微软自己没做手机,否则会知道自己的系统是不适合手机的。耗电大的问题根本是无...
http://www.microsoft.com/en-us/download/details.aspx?id=11800 可以下载此驱动开发包,《寒江独钓WINDOWS内核安全编程》这本书的代码就可以 使用这个版本的WDK进行编译。 驱动程序是一个软件组件,可让操作系统和设备彼此通信。 扩大定义:...
分类:
其他好文 时间:
2015-04-05 10:19:29
阅读次数:
127
第一章:内核上级指导1、如果没有设置DriverUnload函数指针,则一个内核模块一旦被加载就不能卸载了。2、makefile文件内容永远也不需要改动。3、设置断点之前系统必须已经中断。4、驱动加载之前,设置断点不方便,手工断点如下:#ifDBG_asmint3#endif如果不是调试状态执行会直..
