驅動開發:內核枚舉PspCidTable句柄表
- 2022 年 10 月 16 日
- 筆記
在上一篇文章《驅動開發:內核枚舉DpcTimer定時器》中我們通過枚舉特徵碼的方式找到了DPC定時器基址並輸出了內核中存 …
Continue Reading
驅動開發:內核枚舉DpcTimer定時器
- 2022 年 10 月 16 日
- 筆記
在筆者上一篇文章《驅動開發:內核枚舉IoTimer定時器》中我們通過IoInitializeTimer這個API函數為跳 …
Continue Reading
驅動開發:內核枚舉IoTimer定時器
- 2022 年 10 月 14 日
- 筆記
今天繼續分享內核枚舉系列知識,這次我們來學習如何通過程式碼的方式枚舉內核IoTimer定時器,內核定時器其實就是在內核中實 …
Continue Reading
驅動開發:內核遍歷進程VAD結構體
- 2022 年 10 月 13 日
- 筆記
在上一篇文章《驅動開發:內核中實現Dump進程轉儲》中我們實現了ARK工具的轉存功能,本篇文章繼續以記憶體為出發點介紹VA …
Continue Reading
驅動開發:內核中實現Dump進程轉儲
- 2022 年 10 月 11 日
- 筆記
多數ARK反內核工具中都存在驅動級別的記憶體轉存功能,該功能可以將應用層中運行進程的記憶體鏡像轉存到特定目錄下,記憶體轉存功能 …
Continue Reading
驅動開發:內核R3與R0記憶體映射拷貝
- 2022 年 10 月 11 日
- 筆記
在上一篇博文《驅動開發:內核通過PEB得到進程參數》中我們通過使用KeStackAttachProcess附加進程的方式 …
Continue Reading
驅動開發:內核通過PEB得到進程參數
- 2022 年 10 月 10 日
- 筆記
PEB結構(Process Envirorment Block Structure)其中文名是進程環境塊資訊,進程環境塊 …
Continue Reading
驅動開發:內核取ntoskrnl模組基地址
- 2022 年 10 月 9 日
- 筆記
模組是程式載入時被動態裝載的,模組在裝載後其存在於記憶體中同樣存在一個記憶體基址,當我們需要操作這個模組時,通常第一步就是要 …
Continue Reading
驅動開發:通過Async反向與內核通訊
- 2022 年 10 月 3 日
- 筆記
在前幾篇文章中給大家具體解釋了驅動與應用層之間正向通訊的一些經典案例,本章將繼續學習驅動通訊,不過這次我們學習的是通過運 …
Continue Reading
驅動通訊:通過PIPE管道與內核層通訊
- 2022 年 10 月 1 日
- 筆記
在本人前一篇博文《驅動開發:通過ReadFile與內核層通訊》詳細介紹了如何使用應用層ReadFile系列函數實現內核通 …
Continue Reading