驱动开发:内核枚举PspCidTable句柄表
- 2022 年 10 月 16 日
- 笔记
在上一篇文章《驱动开发:内核枚举DpcTimer定时器》中我们通过枚举特征码的方式找到了DPC定时器基址并输出了内核中存 …
Continue Reading
驱动开发:内核枚举DpcTimer定时器
- 2022 年 10 月 16 日
- 笔记
在笔者上一篇文章《驱动开发:内核枚举IoTimer定时器》中我们通过IoInitializeTimer这个API函数为跳 …
Continue Reading
驱动开发:内核枚举IoTimer定时器
- 2022 年 10 月 14 日
- 笔记
今天继续分享内核枚举系列知识,这次我们来学习如何通过代码的方式枚举内核IoTimer定时器,内核定时器其实就是在内核中实 …
Continue Reading
驱动开发:内核遍历进程VAD结构体
- 2022 年 10 月 13 日
- 笔记
在上一篇文章《驱动开发:内核中实现Dump进程转储》中我们实现了ARK工具的转存功能,本篇文章继续以内存为出发点介绍VA …
Continue Reading
驱动开发:内核中实现Dump进程转储
- 2022 年 10 月 11 日
- 笔记
多数ARK反内核工具中都存在驱动级别的内存转存功能,该功能可以将应用层中运行进程的内存镜像转存到特定目录下,内存转存功能 …
Continue Reading
驱动开发:内核R3与R0内存映射拷贝
- 2022 年 10 月 11 日
- 笔记
在上一篇博文《驱动开发:内核通过PEB得到进程参数》中我们通过使用KeStackAttachProcess附加进程的方式 …
Continue Reading
驱动开发:内核通过PEB得到进程参数
- 2022 年 10 月 10 日
- 笔记
PEB结构(Process Envirorment Block Structure)其中文名是进程环境块信息,进程环境块 …
Continue Reading
驱动开发:内核取ntoskrnl模块基地址
- 2022 年 10 月 9 日
- 笔记
模块是程序加载时被动态装载的,模块在装载后其存在于内存中同样存在一个内存基址,当我们需要操作这个模块时,通常第一步就是要 …
Continue Reading
驱动开发:通过Async反向与内核通信
- 2022 年 10 月 3 日
- 笔记
在前几篇文章中给大家具体解释了驱动与应用层之间正向通信的一些经典案例,本章将继续学习驱动通信,不过这次我们学习的是通过运 …
Continue Reading
驱动通信:通过PIPE管道与内核层通信
- 2022 年 10 月 1 日
- 笔记
在本人前一篇博文《驱动开发:通过ReadFile与内核层通信》详细介绍了如何使用应用层ReadFile系列函数实现内核通 …
Continue Reading