- 博客(22)
- 收藏
- 关注
RSS订阅转载 windows 内存管理之 Section and View
http://msdn.microsoft.com/en-us/library/windows/hardware/ff563684(v=vs.85).aspx
2014-09-25 18:50:02
858
原创 ListEntry 遍历宏
#define MySearchList(pHdr, Ptr) \ for ( Ptr = (pHdr)->Flink; Ptr != (pHdr); Ptr = Ptr->Flink )if ( ARGUMENT_PRESENT(InstanceId) ) { MySearchList (&AdvFcbHeader->FilterContext
2013-09-05 18:23:42
1284
原创 windbg 查看设备信息
1. 相关命令!devobj 查看设备对象信息!drvobj 查看驱动对象信息!devstack 查看设备栈2. 系统设备树!devnode 0 1kd> !devnode 0 1Dumping IopRootDeviceNode (= 0x865b1ee8)DevNode 0x865b1ee8 for PDO 0x865b1020 InstancePath i
2013-09-05 17:57:47
4577
转载 IDA error of " positive sp value has been found"
问:用IDA静态分析,函数结尾出现 endp ; sp-analysis failed 用F5调不出伪代码,不知道是什么原因,请问有什么解决办法没有?答:endp ; sp-analysis failed.一般是程序代码有一些干扰代码,让IDA的反汇编分析出现错误。比如用push + n条指令 + retn来实际跳转,而IDA会以为retn是函数要结束,结果它分析后发现调用栈不平衡,因
2013-09-04 16:58:13
10724
转载 文件过滤
author: jonathan本文档的CopyRight归jonathan所有,可自由转载,转载时请保持文档的完整性。/*---------------------------------------------------------------------------------------------------------------------*/1 杂谈1
2013-09-02 14:10:15
1077
转载 文件过滤驱动
由于项目需要,这十天做了个Windows文件过滤驱动, 感觉windows下的驱动也不是那么的神秘, Mirosoft可以说是把API做到了极致(尽管有时真的是没必要), 他们喜欢把API包装了又包装, 不让你看清楚底层的东西. 不过另一方面, 调用这些API也是挺方便的(当然了,API多了,有些API会有些Bug也是在所难免的,比如ObQueryNameString). 由于是零基础开始做这
2013-09-02 12:08:05
983
1
转载 文件过滤驱动开发
看了 ChuKuangRen 的第二版《文件过滤驱动开发教程》后,颇有感触。我想,交流都是建立在平等的基础上,在抱怨氛围和环境不好的同时应该先想一想自己究竟付出了多少?只知索取不愿付出的人也就不用抱怨了,要怪也只能怪自己。发自己心得的人无非是两种目的,一是引发一些讨论,好纠正自己错误的认识,以便从中获取更多的知识使自己进步的更快。二是做一份备忘,当自己遗忘的时候能够马上找到相关资料
2013-09-02 11:59:56
985
原创 使用 InterlockedXXX实现自旋锁操作
一般进行多线程编程,进行同步时经常要用到同步内核对象event/mutex/semaphore等,但是内核对象的操作需要陷入到内核中,比较耗费cpu时间。所以,当使用数组、链表等数据结构实现大量数据添加删除时,比如实现生产消费者模式时,用event等内核对象就比较耗费cpu。系统提供了一组InterLockedXXX原子操作API,我们可以利用这些函数实现锁操作。1. 使用In
2013-08-13 17:06:34
4337
1
转载 About ntoskrnl 版本
"NTKRNLMP.EXE vs NTKRNLMP.EXE vs NTKRNLMP.EXE" Included is the "explanation" from wikipedia:Names of kernelNTOSKRNL.EXE : 1 CPUNTKRNLMP.EXE : N CPU SMPNTKRNLPA.EXE : 1 CPU, PAE
2013-08-13 14:40:17
700
转载 Windows CSRSS API Table
Windows CSRSS API Table (NT/2000/XP/2003/Vista/2008/7)Author: j00ru (j00ru.vx tech blog)Team VexilliumSpecial thanks to: Woodmann, Deus, Gynvael Coldwind, Alex, Edi StrosarBaseServer
2013-08-07 12:31:50
1053
原创 文件读操作过程探究
R3->R0 过程R0读取文件过程相关内核对象a) fileobjectkd> dt fltobjectsLocal var @ 0xee55eb0c Type _FLT_RELATED_OBJECTS*0xee55ebcc +0x000 Size : 0x18 +0x002 TransactionContext :
2013-07-01 10:31:43
924
原创 Win7资源管理器更新后不断重启解决方案
在更新后可能会出现explore自己down掉。 问题签名: 问题事件名称: BEX 应用程序名: explorer.exe 应用程序版本: 6.1.7600.16450 应用程序时间戳: 4aeba271 故障模块名称: fxsst.dll_unloaded 故障模块版本: 0.0.0.0 故障模块时间戳: 4cc5a719 异常偏移: 6d58
2011-06-08 15:18:00
4990
翻译 金山界面库
<br />介面库 是bkwin <br /><br />相关的资源处理库 是bkres <br /><br />处理xml使用了 tinyxml <br /><br />bkwin是基于WTL实现的,所以要加上wtl 和wtlhelper <br /> <br /><br /> <br />wtl和mfc貌似有冲突,所以工程不需要mfc支持<br /><br />wtl基于atl,所以要添加atl支持<br /><br />另外,我选择了不是要预编译头文件<br /><br />以下为stdafx.h的内
2011-04-17 01:33:00
3538
原创 On NTFS there is metadata (data which "lives above" your data).
<br />On NTFS there is metadata (data which "lives above" your data).<br />Metadata are special files that the NTFS file system driver uses to manage an NTFS volume. The most<br />famous piece of metadata is the MFT (Master File Table), which is a special
2011-04-13 14:11:00
776
原创 How NTFS Works
<br />Updated: March 28, 2003<br />Applies To: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2<br />How NTFS Works<br />In this sectionNTFS Architecture<br />NTFS Physical Structure<br />NTFS Processe
2011-04-13 14:04:00
1950
原创 File Caching
By default, Windows caches file data that is read from disks and written to disks. This implies that read operations read file data from an area in system memory known as the system file cache, rather than from the physical disk. Correspondingly, write ope
2011-04-13 13:53:00
970
原创 全局钩子详解
<br /><br /> 全局钩子详解<br />监控程序的实现 <br /> 我们发现一些木马或其他病毒程序常常会将我们的键盘或鼠标的操作消息记录下来然后再将它发到他们指定的地方以实现监听.这种功能其他是利用了全局钩子将鼠标或键盘消息进行了截取,从而获得了操作的消息.要得到鼠标和键盘的控制权,我们要用SetWindowsHookEx这个函数: <br />HHOOK SetWindowsHookEx( <br /> int idHook, // type of hook to i
2011-02-21 17:12:00
5989
2
原创 windows消息处理机制
<br /> <br /> 什么是消息<br /> 消息,就是指Windows发出的一个通知,告诉应用程序某个事情发生了。例如,单击鼠标、改变窗口尺寸、按下键盘上的一个键都会使Windows发送一个消息给应用程序。消息本身是作为一个记录传递给应用程序的,这个记录(一般在 C/Java/汇编 中称为“结构体”)中包含了消息的类型以及其他信息。例如,对单击鼠标所产生的消息来说,这个记录(结构体)中包含了单击鼠标的消息号(WM_LBUTTONDOWN)、单击鼠标时的坐标(由X,Y值连接而成的一个32位整数)。这
2011-02-21 12:31:00
866
转载 __declspec关键字详细用法
<br /><br /> __declspec用于指定所给定类型的实例的与Microsoft相关的存储方式。其它的有关存储方式的修饰符如static与extern等是C和C++语言的ANSI规范,而__declspec是一种扩展属性的定义。扩展属性语法简化并标准化了C和C++语言关于Microsoft的扩展。<br />用法:__declspec ( extended-decl-modifier )<br />extended-decl-modifier参数如下,可同时出现,中间有空格隔开:<br />al
2011-02-20 00:30:00
539
原创 函数调用约定
使用C/C++语言开发软件的程序员经常碰到这样的问题:有时候是程序编译没有问题,但是链接的时候总是报告函数不存在(经典的LNK 2001错误),有时候是程序编译和链接都没有错误,但是只要调用库中的函数就会出现堆栈异常。这些现象通常是出现在C和C++的代码混合使用的情况下或在C++程序中使用第三方的库的情况下(不是用C++语言开发的),其实这都是函数调用约定(Calling Convention)和函数名修饰(Decorated Name)规则惹的祸。函数调用方式决定了函数参数入栈的顺序,是由调用
2011-02-18 11:56:00
658
原创 KdPrint使用方法
KdPrint使用方法类似printf,注意KdPrint((" ", ));使用的是双括号。用KdPrint(())来代替printf 输出信息。这些信息可以在DbgView 中看到。KdPrint(())自身是一个宏,为了完整传入参数所以使用了两重括弧。这个比DbgPrint 调用要稍好。因为在free 版不被编译。DebugPrint格式说明符 格式说明符 类型%c ANSI字符 char%C 宽字符
2011-01-24 17:46:00
11679
原创 windows live wirter Ping 服务器的设置及列表
一直用Windows Live Writer(WLW)撰写博客,比较过几种撰写工具,觉得WLW是比较方便的比较web方式要考虑网速和丢失未完成的稿件,WLW消除后顾之忧并且有比普通WEB编辑器更强的功能,比如对上传的图片添加阴影,水印,自动给关键词加链接还有一个非常有利于SEO优化的功能,向多个博文收录服务器发送博文信息便于在第一时间收录您的日志。下面列出ping服务器的设置以及收集整理的N个ping服务器地址,应该比较全的,并且优先考虑中文搜索引擎。一:设置如图二:ping服务器列表ht
2010-12-22 00:15:00
5223
4
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人