-
我的机器是intel双核,操作系统是xp sp2.我用如下方式获得gdttypedef struct _GDTR{ USHORT limit; ULONG base;}GDTR,*PGDTR;void main(){ GDTR gdtr; __asm sg... 全文
2008-01-20 15:36 来自版块 - 内核编程
-
我想手动的根据线形地址得到物理地址,然后去看那块物理内存的属性。但我不知道页目录的地址,我看到有硬编码的,有什么通用的方法获得吗?
2008-01-15 14:24 来自版块 - 内核编程
-
我使用回调函数检测进程注入,想看看有什么恶意的注入行为,但是我发现许多正常的程序都在System进程下创建新的线程,这个是什么原因呢?怎么可以把这种正常行为和恶意的行为区别开呢?有没有更好的办法在内核下检测注入呢?
2007-11-07 20:39 来自版块 - 内核编程
-
我使用ObQueryNameString,传入的对象指针是通过一个注册表的句柄获得的,里面空间也是分配了的 ,但是它有时蓝屏了 !这个是什么原因呢 ?我Hook 了NtSetValueKey,获得了注册表的句柄,我想获得它的注册表键,有其他的办法吗 ?
2007-11-06 18:40 来自版块 - 内核编程
-
我在使用 NtWriteFile总是出现c0000005的错误 ,但有时又会成功我用同样的参数 调用ZwWriteFile又总是正确的 ,这个是怎么回事呢 ?写一个 磁盘文件除了 调用NtWriteFile和 ZwWriteFile还有什么呢 ?
2007-11-06 18:31 来自版块 - 内核编程
-
我得到一个符号链,如:C:\怎么获得它相应的设备对象的名称呢?\Device\HarddiskVolume1\
2007-10-16 17:02 来自版块 - 内核编程
-
我HOOK了NtCreateFile,但是怎么判断它是打开还是创建文件呢,谢谢!
2007-09-06 20:21 来自版块 - 内核编程
-
下面的代码,我在内核下创建一个文件并写入,但是可以创建,写入的时候报参数错误:RtlInitUnicodeString(&log_path,L"\\Device\\HarddiskVolume1\\malicious_log.txt"); Ini... 全文
2007-08-09 22:31 来自版块 - 内核编程
-
小弟使用TDI过滤驱动想获得一个连接的本地IP地址和端口号,在IRP_MJ_CREATE的完成函数发IRP查询,在又一个完成函数中得到一个TDI_ADDRESS_IP结构,按理说这个结构中有IP地址和端口号,但是我却只得到了端口号,而IP地址却为0?为什么?
2007-07-31 19:47 来自版块 - 内核编程
-
小弟对TDI过滤驱动产生了兴趣,但在网上查查资料,不知道怎么入门.请各位大哥指点,怎么入门TDI过滤驱动.
2007-07-27 20:19 来自版块 - 内核编程
-
首先我找到了KeServiceDescriptorTableShadow的地址然后根据它找到了win32k(由win32k.sys导出的)的表的地址,如0xbf997600但我一访问这个地址就蓝屏了,WHY?
2007-07-17 20:08 来自版块 - 内核编程
-
ServiceDescriptorTable是导出的ServiceDescriptorTableShadow没有导出我怎么获得它的地址呢?
2007-07-17 09:45 来自版块 - 文件系统(过滤)驱动程序开发
