如何得到 windows 线程消息队列的长度?就是里面还有多少消息没取出来?对了,最好在用户层解决我是想得到在等待状态的任务数目

2011-07-19 15:15 来自版块 - 内核编程

回家过年,顺便提供我的原创:Windows 驱动:向 DbgPrintf 一样将调试信息输出到文件http://blog.csdn.net/IamRainLiang/archive/2008/01/25/2065534.aspx(文章和相关文章(附源码)都放在我的 BLOG 中... 全文

2008-02-04 17:14 来自版块 - 内核编程

下面的接口可以实现多线程互斥吗? 注意 //**** 的注释//// initialize the global data structures, when the driver is loading. // (Called in DriverEntry())//NTSTA... 全文

2008-02-02 11:47 来自版块 - 内核编程

关闭 VC 后,工程里面的 aps 和 clw 格式文件,总是被 system.exe 打开再重新写入, why ?????这不是 FileMapping,,也不像是缓冲区延后写入 也不会搞个系统工作者线程吧,没必要啊有兴趣的可以用 FileMon 看看,发表下高见,偶工作被打... 全文

2008-01-18 16:43 来自版块 - 文件系统(过滤)驱动程序开发

关闭 VC 后,工程里面的 aps 和 clw 格式文件,总是被 system.exe 打开再重新写入, why ?????这不是 FileMapping,,也不像是缓冲区延后写入 也不会搞个系统工作者线程吧,没必要啊有兴趣的可以用 FileMon 看看,发表下高见,偶工作被打... 全文

2008-01-18 16:43 来自版块 - 内核编程

我写了个驱动,配合 DLL 恢复 SSDT 和 SSDT Shadow。SSDT 的地址通过 90210 的改进方法获取。SSDT Shadow 地址通过分析 PE 格式偏移获取。最近发现在双核的机器上,只要调用了驱动,即使还原了表,也会导致系统当机,总是有两个进程分别占掉 50... 全文

2007-07-03 10:02 来自版块 - 内核编程

Conversion of Predefined Keys (by ks12345 (Normal user) Apr 18 2007, 04:38 (UTC+8) )Hi,I am tring to call some registry service routines i... 全文

2007-04-19 09:34 来自版块 - 反流氓、反木马和rootkit

Conversion of Predefined Keys (by ks12345 (Normal user) Apr 18 2007, 04:38 (UTC+8) )Hi,I am tring to call some registry service routines in ... 全文

2007-04-18 13:17 来自版块 - 内核编程

前段时间实现了 SSDT Shadow 的读文件恢复,在各个环境下测试了下都没有失败。方法是: 表头地址与模块地址偏移 减去 RVA 加上 POINTTORAWDATA 等于表文件偏移。 这两天想试试用相同的方法,恢复 SSDT 试试,结果发现只在部分机器上生效。在安装了卡巴... 全文

2007-04-04 17:25 来自版块 - 内核编程

前段时间实现了 SSDT Shadow 的读文件恢复,在各个环境下测试了下都没有失败。方法是: 表头地址与模块地址偏移 减去 RVA 加上 POINTTORAWDATA 等于表文件偏移。 这两天想试试用相同的方法,恢复 SSDT 试试,结果发现只在部分机器上生效。在安装了卡... 全文

2007-04-03 17:56 来自版块 - 反流氓、反木马和rootkit

在驱动中直接调用 Nt 系列服务函数往往会失败返回 0xC0000005。但是把调用委托给系统工作者进程却能成功。若干个月后,俺知道了直接调用必须在系统进程空间里。但是一个显然的事实是,俺 HOOK 的这些函数,很多情况都是跑在非系统空间下的!有人研究过么?俺的调试环境不是很... 全文

2007-03-28 17:11 来自版块 - 反流氓、反木马和rootkit

在驱动中直接调用 Nt 系列服务函数往往会失败返回 0xC0000005。但是把调用委托给系统工作者进程却能成功。若干个月后,俺知道了直接调用必须在系统进程空间里。但是,经过俺的研究,NtOpenKey 等函数返回的句柄,不能在应用层非系统进程使用!这貌似很好理解,句柄本来就是进... 全文

2007-03-28 17:04 来自版块 - 反流氓、反木马和rootkit

最近研究了一下 SSDT shadow 的 HOOK 和恢复,但是里面没有导出的服务函数不知道应该怎么样取服务号?请个位大虾不吝赐教!只知道 NtUserSetWindowsHookEx 在 2000 下服务号 1212h, XP 下 1225h, HOOK 了没什么问题 :... 全文

2007-03-27 19:05 来自版块 - ABC初学者

最近研究了一下 SSDT shadow 的 HOOK 和恢复,但是里面没有导出的服务函数不知道应该怎么样取服务号?请个位大虾不吝赐教!只知道 NtUserSetWindowsHookEx 在 2000 下服务号 1212h, XP 下 1225h, HOOK 了没什么问题 :... 全文

2007-03-27 19:04 来自版块 - 内核编程

最近研究了一下 SSDT shadow 的 HOOK 和恢复,但是里面没有导出的服务函数不知道应该怎么样取服务号?请个位大虾不吝赐教!只知道 NtUserSetWindowsHookEx 在 2000 下服务号 1212h, XP 下 1225h, HOOK 了没什么问题 :... 全文

2007-03-27 19:04 来自版块 - 反流氓、反木马和rootkit

把它插入到系统工作者线程可以调用成功,可是得到的 HANDLE hKey 是在系统进程下的.....汗~~怎么办?怎么办?怎么办?

2007-02-27 16:52 来自版块 - ABC初学者

NtOpenKey 直接调用返回 0xC0000005把它插入到系统工作者线程可以调用成功,可是得到的 HANDLE hKey 是在系统进程下的.....汗~~怎么办?怎么办?怎么办?

2007-02-27 16:51 来自版块 - 内核编程

NTSTATUS NTAPI ZwCreateThread(OUT PHANDLE ThreadHandle,IN ACCESS_MASK DesiredAccess,IN POBJECT_ATTRIBUTES Ob... 全文

2007-01-08 10:25 来自版块 - 反流氓、反木马和rootkit


返回顶部