bladellz的个人空间

访问量0

http://bbs3.driverdevelop.com/index.php?m=space&uid=139192

: bladellz： sources 编译问题

好像只能使用同一目录下的c文件，如果使用..\common\myfile.c 就会出错。难道ms这么弱智。。

2007-10-31 17:35 来自版块 - 内核编程

: bladellz：取得ntdll.dll的模块列表

怎样取得ntdll.dll加载的模块列表(ring0完成)?谢谢

2007-10-24 14:36 来自版块 - 内核编程

: bladellz：如何取得驱动的厂商信息

右键单击驱动,打开"版本"一栏,可看到厂商等信息,不知编程怎么实现?win32或kernel都可以

2007-10-16 10:55 来自版块 - 内核编程

: bladellz：取得未公开native api地址

有些函数未被导出，要使用怎么办呢？

2007-10-10 15:11 来自版块 - 内核编程

: bladellz：监视远程线程注入

目前知道的方法有windows提供的回调函数和hook NtCreateThread, 不过两种方法并无明显差别不少木马会采用线程注入,而很多windows正常进程也会注入. 不知怎么有效降低误报率?

2007-09-28 11:00 来自版块 - 内核编程

: bladellz： IRP_MJ_CREATE设置完成例程后取得进程路径出错

IRP_MJ_CREATE设置完成例程后取得进程路径出错，大概是PEPROCESS的偏移值不对。如果不设置完成例程，就能正常运行。感觉完成例程对PEPROCESS作了改变

2007-09-25 18:23 来自版块 - 文件系统(过滤)驱动程序开发

: bladellz： DriverEntry执行KeWaitForSingleObject()失败

提示IRQL等级不够,KeWait要求<=DISPATCH_LEVEL,DriverEntry是PASSIVE应该可以吧

2007-09-07 15:32 来自版块 - 内核编程

: bladellz： minifilter的加解密

有人用minifilter做加解密不，效果、开发难度怎样

2007-08-14 10:31 来自版块 - 文件系统(过滤)驱动程序开发

: bladellz：进程名和进程路径最大长度

CHAR ProcessName[MAX_LEN];CHAR ProcessPath[MAX_LEN_1];采用EPROCESS得到的进程名和进程路径，这两种长度设置为多少比较合适？以免strcpy()发生溢出1024吗？

2007-08-06 10:54 来自版块 - 内核编程

: bladellz：进程名和进程路径最大长度

CHAR ProcessName[MAX_LEN];CHAR ProcessPath[MAX_LEN_1];采用EPROCESS得到的进程名和进程路径，这两种长度设置为多少比较合适？以免strcpy()发生溢出1024吗？

2007-08-06 10:53 来自版块 - 文件系统(过滤)驱动程序开发

: bladellz：关于驱动的自保护

比如我做了一个HOOK SSDT驱动，其他驱动加载后会覆盖我的钩子，怎样保证我的驱动不被覆盖？（包括重启计算机后）举个简单例子：装了瑞星，卡巴，和我的驱动，开机后始终让我的驱动最后加载，即使被覆盖也能马上重再HOOK一次

2007-08-03 09:27 来自版块 - 文件系统(过滤)驱动程序开发

: bladellz：关于驱动的自保护

比如我做了一个HOOK SSDT驱动，其他驱动加载后会覆盖我的钩子，怎样保证我的驱动不被覆盖？（包括重启计算机后）举个简单例子：装了瑞星，卡巴，和我的驱动，开机后始终让我的驱动最后加载，即使被覆盖也能马上重再HOOK一次

2007-08-03 09:23 来自版块 - 内核编程

: bladellz：如何保证我的驱动在某进程运行之后才加载呢？

出于某种需要，需要控制自己的驱动在某进程运行了之后才自动加载。为了达到这样的目的，应该怎样做呢？谢谢各位的回答.

2007-08-02 15:55 来自版块 - 文件系统(过滤)驱动程序开发

: bladellz：谁用过内核安全字符串函数？

sprintf-> RtlStringCbPrintf按照IFS描述，#include <ntsafestr.h>后提示找不到RtlStringCbPrintf哪位成功编译过？

2007-08-02 11:25 来自版块 - 内核编程

: bladellz：请问如何在2000下在irp_mj_read包里面获取到卷标？

在2000下，在irp_mj_creat里面可以通过iovolumdevicetodosname来获取到卷标，但是在irp_mj_read里面一用就死，不知道那位大侠给讲讲该怎么办啊，谢谢了！！

2007-07-31 09:56 来自版块 - 文件系统(过滤)驱动程序开发

: bladellz：诡异的错误，无法启动驱动

启动驱动后出错，错误代码127：找不到指定程序xp下就不出问题，2000下出错！我看了驱动的api，都是xp,2k支持的有谁遇到类似问题？

2007-07-30 10:49 来自版块 - 内核编程

: bladellz： KeServiceDescriptor死机

用最普通的HOOK办法,在win2k professional下死机,修改了CR0的.没道理啊

2007-07-25 16:44 来自版块 - 内核编程

: bladellz： HOOK和杀毒软件冲突

简单写了个HOOK程序,和某些杀毒软件冲突(蓝屏)类似的问题如何解决?

2007-07-17 13:26 来自版块 - 内核编程

: bladellz： NtOpenProcess

在NtOpenProcess(ZwOpenProcess)通过PEB取得进程完整路径怎么就死机了呢？windbg显示PEB的ProcessParameter不可访问哈

2007-06-23 18:06 来自版块 - 内核编程

: bladellz：如何取得ExMapHandleToPointer?

该函数未被导出，怎样取得它的地址？3q

2007-06-08 13:38 来自版块 - 内核编程

bladellz

加关注写私信