内核编程的存档

windbg 命令收集

2014-02-06 07:01:15

 

windbg的命令非常多. 有很多漂亮的命令, 用一次以后突然会忘记. 还是记下来比较合适啊.

阅读全文…

KiFastCallEntry KiServiceExit

2012-12-10 05:38:27

从R3进入R0的代码很多人也有做过分析了. 这几天我也仔细看了下, 算是弄明白了. Windows不但有从R3进入R0的框架代码, 其实R0反调用R3的框架也是有的, 回头仔细分析下. 公司的电脑没有批下来, 有点蛋疼. 有很多好的想法想整一下都苦于没有电脑. 只能作罢.

本来吧, 公司不说配电脑, 那我就整个外星人. 一样很悠哉. 公司又说配电脑, 但是一直又批不下来, 卡在这里. 纠结.

阅读全文…

搞定Windbg 串口双机调试

2012-09-17 07:56:05

原来一直以为这个挺复杂的, 昨天我去买了串口线, 顺便买了1394的线. 串口线的话买的时候注意说两头都是母口的, 9针口. 母口的话, 就是可 以被插入.. 所以是母.我买的时候才15块.感觉单纯为了这个跑一趟电脑城不划算, 就又带了根1394的回来, 发现没有接口.. 倒.

阅读全文…

虚拟磁盘光驱(FileDisk)

2011-12-03 07:14:26

这几天总算把这个开源的FileDisk给分析完了. 分析完以后收获不少, 有些经验了. 其实对于前面写的那个中断无法和R3进行交互的问题, 我们可以创建Dpc例程的, 或者专门用一个线程来做这件事情也可以. 扯远了, 还是看看这个FileDisk吧. 
 

阅读全文…

WDF虚拟磁盘驱动(RamDisk)

2011-11-30 05:16:39

这是寒江独钓里面第5章的例子了, 分析自DDK中的RamDisk驱动. 具体来说没有太大的用处, 只是对WDF驱动的套路有个了解吧, 但是这个WDF到现在为止明显没有形成气候. 写个驱动出来, 安装都是很麻烦的事情, 哪里有NT式驱动舒服啊, 不过WDF确实是潮流, 这个也确实不能够忽略..

阅读全文…

键盘过滤二(接管93h中断)

2011-11-28 06:04:22
这两天确实有些纠结啊, 理想很丰满, 现实很骨感.. 上一篇已经把键盘过滤写完, 用的是挂一个设备到KbdClass类驱动的设备上面.这是很正统的做法, 不是很难就可以把这个问题解决. 再后面两个一个是搜索KbdClass驱动的分发函数进行Hook还有一个搜索端口驱动回调KbdClass的一个回调函数的地址. 这两个办法都遇到问题.. 还有这个替换93号中断也遇到问题..

阅读全文…

键盘过滤一(绑定KbdClass)

2011-11-26 06:52:09
 
这是寒江独钓里面的第4章的第一个例子, 绑定键盘设备, 采用的是绑定KbdClass驱动对象下的所有设备对象的做法, 算是比较高层了. 不过在这层进行截获可以获得很好的通用性. 我试验了一下腾讯的QQ, 能够截获到. 而且工商银行的账号和密码也可以截获到. 我倒. 这么大的银行难道都没有一点保护措施?? 难以置信!

阅读全文…

串口过滤

2011-11-25 01:30:27
 
终于鸟枪换炮, 可以写点东西了. Windows驱动编程详解从12章后面基本上就是讲各种硬件的开发了, 先放放, 还是以内核模块的开发为主. 所以可以敲寒江独钓上面的代码了, 早先8月份就把寒江独钓看完了, 一直都忍住了敲几行代码的冲动, 一步一步的先学了保护模式, 然后把这个Windows驱动编程详解的代码也敲得差不多了. 可以开始寒江独钓了. 我是这样想的, 所以从最简单的串口过滤开始..

阅读全文…