lghtly的个人空间

lghtly： 如何真正完全阻止对一个文件的修改，急！！！！谢谢！！！

当我拦截了一个写文件的IRP包时，如何阻止对一个文件的修改？要做到既阻止写操作又不破坏活动原来的文件，该如何改造IRP包？如何知道修改的内容？有没有其它方法可以对文件进行保护？最好能详细些我用FileMon进行监控， 发现不同应用程序修改文件的方式不同，如用Word、NotePa... 全文

2005-06-09 11:29 来自版块 - 文件系统(过滤)驱动程序开发

lghtly： 在内核中如何读取注册表中一个值项

在内核中如何读取注册表中一个值项，我用ZwOpenKey(),然后用ZwQueryValueKey(),可得到的数据中仅有前四个字节可用，第五个字节以后的数据不知道为何用DbgPrint()打印不出来，现将程序贴出，请高手指点：BOOLEAN ReadValueKey(IN H... 全文

2005-05-23 19:43 来自版块 - 内核编程

lghtly： 如何用程序找到KeServiceDescriptorTableShadow中每个服务号对应的函数名称?

如何用程序找到KeServiceDescriptorTableShadow中每个服务号对应的函数名称?并且需要程序在任何系统下都可用?为这事发愁好多天了,那位高手能否详细讲一下.不知为什么,只能给20分,昨天还可以给100多的

2005-04-19 21:40 来自版块 - 内核编程

lghtly： 谢谢！！！急！！！如何获取KeServiceDescriptorTableShadow中对应于win32k.sys中函数的服务号

如何获取KeServiceDescriptorTableShadow中对应于win32k.sys中函数的服务号,例如NtUserQueryWindow()是win32k.sys中输出的一个函数，如何获取其在KeServiceDescriptorTableShadow中的服务号？有... 全文

2005-04-14 21:42 来自版块 - 内核编程

lghtly： 有谁对内核中进程间通信了解的？

有谁对内核中进程间通信了解的？进程间用Port（此Port不同于网络间通信的端口）进行通信是其消息格式是什莫？

2005-03-14 18:58 来自版块 - 内核编程

lghtly： 有没有方法拦截住2E中断后，查看一个服务的参数

有没有方法拦截住2E中断后，查看一个服务的参数，如调用服务ZwCreateFile()函数，查看一下这个函数的参数；进一步，在此处跟据参数决定是否调用内核中的函数。拦截住2E中断的方法已有，但不知如何在挂钩2E中断处作上面的处理。

2005-03-14 18:48 来自版块 - 内核编程

lghtly： 如何挂钩影子表中的服务，最好有例子？谢谢！！！！！！！！！！

如何挂钩影子表中的服务，最好有例子？谢谢！！！！！！！！！！

2005-03-13 20:01 来自版块 - 内核编程

lghtly： SetWindowsHookEx()函数 !!!!!!!!! 难道没人能搞定吗!!!!!!!

SetWindowsHookEx()函数中每一个Hook都有一个与之相关联的指针列表，称之为钩子链表，由系统来维护。这个列表的指针指向指定的，应用程序定义的，被Hook子程调用的回调函数，也就是该钩子的各个处理子程。当与指定的Hook类型关联的消息发生时，系统就把这个消息传递到H... 全文

2005-03-12 16:10 来自版块 - 内核编程

lghtly： 谁能透彻分析一下SetHookWindowsEx()这个函数，如何阻止它的运行，最好从内核处。

谁能透彻分析一下SetHookWindowsEx()这个函数，如何阻止它的运行，最好从内核处。

2005-02-22 11:18 来自版块 - 内核编程

lghtly： 谁能分析一下SetHookWindowsEx()这个函数，如何阻止它的运行，最好从内核处。急！！！！！！！！！

谁能分析一下SetHookWindowsEx()这个函数，如何阻止它的运行，最好从内核处。

2005-02-22 11:15 来自版块 - 内核编程

lghtly： 如何控制系统创建一个对象（User Object),急？？？？

如何控制系统创建一个对象（User Object),急？？？？

2005-01-20 20:39 来自版块 - 内核编程

lghtly： 谁能剖析一下setwindowshookex的内部执行情况？

谁能剖析一下setwindowshookex的内部执行情况？

2005-01-20 19:38 来自版块 - windows 源码解读

lghtly： 如何阻止creatservie的执行，或者说阻止安装驱动程序

如何阻止creatservie的执行，或者说阻止安装驱动程序

2005-01-17 18:30 来自版块 - 内核编程

lghtly： 2000下的如何阻止SetWindowsHookEx的执行

2000下的SetWindowsHookEx在内核层又是怎么实现的？如何阻SetWindowsHookEx的执止行[编辑 - 1/24/05 by lghtly]

2005-01-17 18:21 来自版块 - 内核编程

lghtly： 有关进程控制的若于问题，热烈欢迎大家讨论

1 由一个进程的句柄能够得到进程的那些信息，如何获得，使用那些函数？线程的又如何？2 系统服务表和ntoskrnl.exe的输出函数表之间的关系是什么？通常的挂钩方法是挂前者，挂后者的结果是什么？两者有什么联系？3 寻inside windows 2k 的光盘。4 在驱动中由一个... 全文

2005-01-06 16:37 来自版块 - 内核编程

lghtly： 当我们启动一个新进程时，都调用了那些NATIVE Api 的函数，他们的执行顺序是什么？

当我们启动一个新进程时，都调用了那些NATIVE Api 的函数，他们的执行顺序是什么？在那个地方控制较好？

2004-12-26 14:31 来自版块 - 内核编程

lghtly： 新启动一个程序，是那个进程创建了它的进程，是Exploer.exe吗？

新启动一个程序，是那个进程创建了它的进程，是Exploer.exe吗？

2004-12-07 19:30 来自版块 - 内核编程

lghtly： 如何拦击NtCreateProcess()并得到进程名？

如何拦击NtCreateProcess()并得到进程名？急！！！！！！！！！！！

2004-12-06 15:24 来自版块 - 内核编程

lghtly： 如何对进程创建进行控制？

如何HOOK NtCreateProcess？如何HOOK W32API CreateProcess？当我们启动一个新进程时，是那个进程调用的CreateProcess？还是NtCreateProcess？如何对进程创建进行控制？

2004-12-04 14:44 来自版块 - 内核编程

lghtly： 如何替换Ntdll.dll 中的函数，并使之对所有进程有效

如何替换Ntdll.dll 中的函数，并使之对所有进程有效，谢谢！！！！！！！！！！！！急！！！！！！！！！！！

2004-11-29 15:38 来自版块 - 内核编程