liio的个人空间

liio： 外包 内核DLL注入.

1. 兼容 Windows 2000 到 Windows 7(含Win server 2008 R2)的所有版本(x64,x86)2. 支持64位下对Wow64进程的注入3. 稳定.兼容大多数杀软有意向的请发邮件到:in... 全文

2010-07-08 11:02 来自版块 - 内核编程

liio： x64下的APC内核注入DLL.

当使用APC注入DLL到一个WOW64进程时.实际上这个DLL是注入到WOW64子系统以外.注入环境中仅有ntdll,WOW64子系统DLL,请问如何用APC注入到WOW64内部呢?我有一个天真的想法~注入一个仅依赖于ntdll的DLL到WOW64进程中,然后调用Wow64cpu... 全文

2009-12-06 17:26 来自版块 - 内核编程

liio： 在内核模式下HOOK WTSXXX函数之前的小测试

这几天我怀疑我真的是吃饱了没事做...在内核模式下打开winlogon.exe 然后打算取wtsapi32.dll中WTSEnumerateSessionsW地址，打算把JMP HookProc写到这个地址里去。JMP的HookProc我想用MmMapLockedPagesSpe... 全文

2008-10-05 15:48 来自版块 - 内核编程

liio： 自己写的GetProcAddress，驱动里用用..

最近不好玩..写了这个东西.通过分析PE格式得到.LPVOIDFindProcAddress( LPVOID hBaseAddress, PSTR strProcName, UINT Pro... 全文

2008-10-05 01:43 来自版块 - 内核编程

liio： WTSAPI32????????????????????

找了好久的资料。。想看看WTSEnumerateSessionsW是如何实现的。才发现真难找。。只想问个问题。WTSEnumerateSessionsW调用的底层部分是由哪些函数组成的？。。。。或者。。内核层取已经登陆的用户？谢谢。。。

2008-10-03 13:37 来自版块 - 内核编程

liio： 在IMD层隐藏端口或者连接

比如，隐藏后netstat -a无法检测到等。不要说要我去Google.我看了好多天NT4SRC了。。。下面是我自己分析的结果。。。。。(在最后）我的问题是。好象netstat 的请求到了TDI后就看不到继续往下层走了。。要命。那就是说 IMD层没办法了？我在IMD层加段HOOK... 全文

2008-10-02 09:16 来自版块 - NDIS网络接口开发

liio： 上传几个资源.让大家下载速度快点..

NT4SRC地址：下载.2KSRC还在服务器上下着..下好放上来另外发现个30多M的WRK，速度牛慢。下好也顺便放上来PS:服务器连接限速400KB/s纯当给大家用讯雷时加个速了如果有朋友需要空间放大规模数据分享的可以PM 我。。。。XXOO片就不要了。。。上次一老兄往我服务器里... 全文

2008-10-02 06:09 来自版块 - windows 源码解读

liio： IRP_MN_QUERY_DIRECTORY时处理FILE_BOTH_DIR_INFORMATION出错,附代码,WinDBG图片,内存数据...

昨天做了一个通宵.在遍历PFILE_BOTH_DIR_INFORMATION时，总是出错，发现NextEntryOffset 的值总是异常。WDK说这个值在IrpSp->Parameters.QueryDirectory.FileInformationClass 是单个的时... 全文

2008-07-15 18:25 来自版块 - 文件系统(过滤)驱动程序开发

liio： 去除尾部加密标志的两条尝试之路.

半个月过去了.一直在尝试一种方法来去除尾部加密标志.也就是逻辑处理和物里处理.逻辑处理坛子里有老大已经说过了和NOTEPAD本身有关，你用WORDPAD就可以了，NOTEPAD会调用GetfileinformationbyHandle来获得文件信息，这里获得的是原始的信息，然后会... 全文

2008-07-06 23:29 来自版块 - 文件系统(过滤)驱动程序开发

liio： 对大家广泛使用的t大的sfilter提出的看法。

1.决定放弃将FileContext存放于FileObject。因为驱动如果要考虑暂停的话,那不知道这段时间FileObject会出现什么状况。实际应用中，发现有引起BugCheck的可能。虽然可以加强暂停时的处理来避免，但是总觉得附加到系统本身的地方还是不太可靠。可能是小弟太愚... 全文

2008-05-22 15:22 来自版块 - 文件系统(过滤)驱动程序开发

liio： 终于稳定完成了透明加解密.

1.测试了30MB的txt,30MB的doc.发现加解密正常2.总算稳定的把尾标志去掉了3.缓存的清除稳定下来了4.稳定支持2D/3D软件.搞了2个月了,终于稳定了下来.只是目前发现Powerpnt.exe加解密时(FAT32)下，没有通过写tmp文件来保存，而是直接写的ppt文... 全文

2008-04-24 10:39 来自版块 - 文件系统(过滤)驱动程序开发

liio： Setinformation中调用IRP Flags |= IRP_NOCACHE写文件时出错。

发现写小文件 (1k以下)时用IRP_NOCACHE正常。 当文件大于1k(文件内容不是保存在NTFS的Data里的)时候，带IRP_NOCACHE时返回状态0xC000002，去掉该标志就正常了。 非常疑惑，，希望哪位能帮助下

2008-03-31 08:57 来自版块 - 文件系统(过滤)驱动程序开发

liio： 清除缓存影响文件写，透明加解密问题求助。

我在Cleanup中清掉缓存。方便每次都能在SfRead中收到消息。这样，解密是正常了。但是加密却发现了一些问题，首先看看清缓存的代码：if(IrpSp->MajorFunction == IRP_MJ_CLEANUP) { if(FileObject-... 全文

2008-03-25 13:42 来自版块 - 文件系统(过滤)驱动程序开发

liio： 再说PtSendComplete的释放问题。请大家指教

这几日在忙Ndis下的包转发，也就是拿到系统包之后复制到缓冲区，然后把NDIS_BUFFER连接到新的PACKET发送出去。总是面临着资源回收得不够干净的问题。我在PtSendComplete中是对自己申请的资源进行了自己的回收。查看网上大家用的处理自发包的回收都没有调用过Ndi... 全文

2008-02-02 02:17 来自版块 - NDIS网络接口开发

liio： IMD下MPSendPackets中转发数据包问题（有代码）

SendBuffer是将一个数据包缓冲区（完整包内容，从NDIS_PACKET中取得）发送出去的并不是自定义包。而是根据系统原来的Packet 发送。现在的问题是，调用这个函数后对8139等老网卡支持不好。TCP连接不太稳定，有些机器蓝屏。请高手帮忙解决。NDIS_STATUSS... 全文

2008-02-01 16:32 来自版块 - NDIS网络接口开发

liio： 从别处取系统版本号(原代码)

近日给人做项目,他说在有些系统下使用API得不到真正的系统版本号。可能是有人修改了吧。特意写了这个函数.取系统版本号.int _tmain(int argc, _TCHAR* argv[]){ DWORD dwMajorVer,dwVer; dwVer = ::Get... 全文

2008-02-01 03:30 来自版块 - 内核编程

liio： NdisAllocateBuffer出现的奇怪问题，真想不到。！

已解决

2008-01-18 16:53 来自版块 - NDIS网络接口开发

liio： 在MPInitialize结尾处调用MPSetInformation设置OID_802_11_INFRASTRUCTURE_MODE触发ASSERT

代码：dwOidCodes = Ndis802_11AutoUnknown ; MPSetInformation(pAdapt , OID_802_11_INFRASTRUCTURE_MODE, &dwOidCodes, s... 全文

2007-12-29 19:30 来自版块 - NDIS网络接口开发

liio： 终于做好了无线WLAN的搜索程序.

带个简单的数据包过滤.个人感觉其实做事情只要去做，困难还是能克服的.其实这个感觉很简单，自己处理MPQueryInformation和MPSetInformation就搞定了。只是对802.11很陌生。平时本本的无线也很少开。其中有个地方不是很明白。还请各位大牛指导下。（其实WD... 全文

2007-12-28 12:41 来自版块 - NDIS网络接口开发

liio： 我的1:8比例卡车.

电牛正面. [图片] 侧面.那根线是屏蔽信号馈线. [图片] 9.6v 2100MHA 的动力电池. 笔记本电芯改成的,GP的电芯噢！ [图片] 改装前电牛使用的非比例舵机 [图片] 这是现在改装完成后电牛的内部，光线不好看不清。 里面放的是接收机和3KG的舵机 [图片] AM天... 全文

2007-11-12 18:56 来自版块 - 疯狂灌水&& 人生 &&娱乐