guaiguaiguan的个人空间

guaiguaiguan： 如何通过函数调用实现模拟拔掉uSB设备数据线？

有没有办法像vmware那样，通过WIn32函数调用，模拟拔掉uSB设备的数据线，

2008-11-04 13:00 来自版块 - USB驱动开发

guaiguaiguan： 如何解决uSB丢包的问题？

开发一个USB项目，刚开始的时候着眼于应用层，双线程、环形队列缓冲区，结果仍然存在丢包的现象，在进程切换时比较明显。于是开始在驱动中做文章，参考了驱动开发网的一个帖子。尝试自己创建irp，发送urb请求，结果在调用IocallDriver函数时，出现指针错误，导致IocallDr... 全文

2008-09-27 17:12 来自版块 - USB驱动开发

guaiguaiguan： 关于通过hook iocalldriver监听usb网卡通信的问题

我不希望使用中间层网络驱动和传统的ndis hook来截获网络包，我只希望我的驱动程序只适用于指定的usb网卡。为了实现usb监听，于是我想到了使用iocalldriver函数，遗憾的是，每次传输会话，总会出现最后几个包在拦截iocalldriver时收不到，就像没有经过ioca... 全文

2008-05-27 11:38 来自版块 - USB驱动开发

guaiguaiguan： 使用libusb-win32读取u盘的问题

曾经在linux环境下使用libusb库成功读取一个u盘的所有扇区，并把该扇区内容保存到一个文件里面。可是当使用libusb-win32库，使用同样的代码读取同一个u盘时却出现了问题。就是在usb_bulk_write时总是写入错误。错误信息是：error:usb_reap: r... 全文

2008-04-13 16:39 来自版块 - USB驱动开发

guaiguaiguan： spt终止进程的方法

spt终止进程的方法这个程序提供了多达12种终止进程的方法，这些方法估计这里大部分的人都不陌生，这些方法都是在应用态完成的。这里不想讨论这些方法的有效性，只是想问一下，在这些方法中，方法12是怎么实现的？调用了哪些api函数，或者使用了那个com组件的接口方法，12 -... 全文

2008-04-08 12:55 来自版块 - 内核编程

guaiguaiguan： 帮我看看这两个dump文件是什么原因造成的？

Loading Dump File [C:\Documents and Settings\???\桌面\Mini012508-01.dmp]Mini Kernel Dump File: Only registers and stack trace are availableSym... 全文

2008-01-28 10:18 来自版块 - 内核编程

guaiguaiguan： 金山密保 VS 360保险箱

人不在江湖，却知道江湖上二者的传说。360保险箱在MJ001的推动下，不断推陈出新，在驱动开发网几乎是路人皆知。而金山密保在这里却鲜有提及。今日无意中看到了一个用bsod hook测试金山密保触发bsod的帖子，引起偶的兴趣，试装了一下。一个独有“安全桌面”跃然眼前，... 全文

2007-12-17 17:34 来自版块 - 反流氓、反木马和rootkit

guaiguaiguan： 如何实现NtUserGetWindowLong?

shadow ssdt中并没有NtUserGetWindowLong对应的索引号，为了实现GetWindowLong的功能，我尝试通过两次调用NtUserSetWindowLong，实现NtUserGetWindowLong,因为NtUserSetWindowLong在为一个窗口... 全文

2007-12-05 17:13 来自版块 - 内核编程

guaiguaiguan： 问题已经解决

问题已经解决

2007-11-23 11:41 来自版块 - 内核编程

guaiguaiguan： 如何在driver中取得一个进程启动时的startupinfo结构？

在一个用户态进程中，可以调用GetStartupInfo函数得到创建进程采用Si参数，即startupinfo结构。在驱动中如何获取呢？高手指点一番。现在的guaiguaiguan既懒又衰。

2007-09-29 10:47 来自版块 - 内核编程

guaiguaiguan： 如何判断一个程序是用户手工发起的，还是因为其他原因发起的

我很想找到一种办法来判断一个已经运行起来的程序是如何启动的？是用户手工运行的（双击图标）,还是被动的？当然ShellExecuteHook是一个办法，但是我不想借助于这个钩子。有没有好的办法和建议。

2007-09-11 15:02 来自版块 - 内核编程

guaiguaiguan： 瑞星杀毒软件系统登录时屏幕左上角的图标和文字显示是怎么实现的？

我查了一下，发现该图标和文字和一个服务有关，禁用了这个NT服务，图标和文字就显示不出来了。由于这个NT服务程序文件较大，分析起来比较费劲，谁给介绍一下这个图标和文字是怎么显示出来的？猜测是由NT服务程序借助于进程注入一段代码到logonui.exe进程获得主窗口句柄，借助于窗口子... 全文

2007-08-28 09:54 来自版块 - 内核编程

guaiguaiguan： 谁给讲一下下面这段exe2bat

@echo off echo q | debug>nulecho Bj@jzh`0X-`/PPPPPPa(DE(DM(DO(Dh(Ls(Lu(LX(LeZRR]EEEUYRX2Dx=>sleep.comecho 0DxFP,0Xx.t0P,=XtGsB4o@$?PIy... 全文

2007-02-06 22:47 来自版块 - 内核编程

guaiguaiguan： 养了几天熊猫，有几分心得

知道最近熊猫比较火爆，赶紧从网上下了一个，美中不足的是熊猫感染的exe文件，无法正常执行。倒是在我的硬盘里面塞了一大堆 desktop_.ini文件，让我不胜其烦。 说实在熊猫采用的技术虽然很一般，但是很有效，要不金山、瑞星、江民的专杀工具的扩展名怎么改扩展名运行。那些... 全文

2007-01-25 20:21 来自版块 - 内核编程

guaiguaiguan： 〔转贴www.cnbeta.com〕360safe 发现俄罗斯新型rootkit隐藏技术

最新消息, 两名俄罗斯黑客EP_XOFF和MP_ART于美国时间19日上午7时45公布了他们的新型Rootkit技术, 命名为"Unreal", 目前所有的Rootkit检测工具均对其无效, 中国RootKit研究者MJ0011在16时53分公布了对这种恶... 全文

2007-01-22 08:49 来自版块 - 内核编程

guaiguaiguan： [转帖]关于BootExecute

MJ0011:给瑞星说句公道话,关于BootExecute虽然对于瑞星的技术及一些做事的方法比较不齿,还是给人家说句公道话吧.从纯技术上来说说那个BootExecute的问题.大家也可以来我的blog看看这篇文章，我翻译自大师Mark Russinovich的<<... 全文

2007-01-03 17:55 来自版块 - 内核编程

guaiguaiguan： 有没有办法在驱动中拦截类似于Word.application、InternetExplorer.application 之类OLE对象创建

有一个穿透程序总是通过InternetExplorer.application获得现有的或者新建一个OLE对象进行发包。而 IE程序是白名单中的白名单。我使用什么办法能够在驱动中实现类似于拦截CreateObject或者GetObject函数的效果。以便对穿透程序进行阻止

2006-12-31 18:53 来自版块 - 内核编程

guaiguaiguan： 管理线程调度

请问，Windows2000环境下可以接管系统的线程调度吗？也就是自己开发的软体管理线程的处理机请求，类似linux系统下的内核功能扩展 那位知道，讲讲好吗

2003-12-17 20:13 来自版块 - 内核编程