内核安全
关注
分享
扫一扫
文章平均质量分 76
wjcsharp
这个作者很懒,什么都没留下…
展开
-
windows消息处理机制
<br /> <br /> 什么是消息<br /> 消息,就是指Windows发出的一个通知,告诉应用程序某个事情发生了。例如,单击鼠标、改变窗口尺寸、按下键盘上的一个键都会使Windows发送一个消息给应用程序。消息本身是作为一个记录传递给应用程序的,这个记录(一般在 C/Java/汇编 中称为“结构体”)中包含了消息的类型以及其他信息。例如,对单击鼠标所产生的消息来说,这个记录(结构体)中包含了单击鼠标的消息号(WM_LBUTTONDOWN)、单击鼠标时的坐标(由X,Y值连接而成的一个32位整数)。这原创 2011-02-21 12:31:00 · 926 阅读 · 0 评论 -
ListEntry 遍历宏
#define MySearchList(pHdr, Ptr) \ for ( Ptr = (pHdr)->Flink; Ptr != (pHdr); Ptr = Ptr->Flink ) if ( ARGUMENT_PRESENT(InstanceId) ) { MySearchList (&AdvFcbHeader->FilterContext原创 2013-09-05 18:23:42 · 1355 阅读 · 0 评论 -
windbg 查看设备信息
1. 相关命令 !devobj 查看设备对象信息 !drvobj 查看驱动对象信息 !devstack 查看设备栈 2. 系统设备树 !devnode 0 1 kd> !devnode 0 1 Dumping IopRootDeviceNode (= 0x865b1ee8) DevNode 0x865b1ee8 for PDO 0x865b1020 InstancePath i原创 2013-09-05 17:57:47 · 4877 阅读 · 0 评论 -
文件过滤驱动开发
看了 ChuKuangRen 的第二版《文件过滤驱动开发教程》后,颇有感触。我想,交流都是 建立在平等的基础上,在抱怨氛围和环境不好的同时应该先想一想自己究竟付出了多少? 只知索取不愿付出的人也就不用抱怨了,要怪也只能怪自己。发自己心得的人无非是两种 目的,一是引发一些讨论,好纠正自己错误的认识,以便从中获取更多的知识使自己进步 的更快。二是做一份备忘,当自己遗忘的时候能够马上找到相关资料转载 2013-09-02 11:59:56 · 1047 阅读 · 0 评论 -
文件过滤驱动
由于项目需要,这十天做了个Windows文件过滤驱动, 感觉windows下的驱动也不是那么的神秘, Mirosoft可以说是把API做到了极致(尽管有时真的是没必要), 他们喜欢把API包装了又包装, 不让你看清楚底层的东西. 不过另一方面, 调用这些API也是挺方便的(当然了,API多了,有些API会有些Bug也是在所难免的,比如ObQueryNameString). 由于是零基础开始做这转载 2013-09-02 12:08:05 · 1047 阅读 · 1 评论 -
文件过滤
author: jonathan 本文档的CopyRight归jonathan所有,可自由转载,转载时请保持文档的完整性。 /*---------------------------------------------------------------------------------------------------------------------*/ 1 杂谈 1转载 2013-09-02 14:10:15 · 1154 阅读 · 0 评论 -
About ntoskrnl 版本
"NTKRNLMP.EXE vs NTKRNLMP.EXE vs NTKRNLMP.EXE" Included is the "explanation" from wikipedia: Names of kernel NTOSKRNL.EXE : 1 CPU NTKRNLMP.EXE : N CPU SMP NTKRNLPA.EXE : 1 CPU, PAE转载 2013-08-13 14:40:17 · 759 阅读 · 0 评论 -
Windows CSRSS API Table
Windows CSRSS API Table (NT/2000/XP/2003/Vista/2008/7) Author: j00ru (j00ru.vx tech blog) Team Vexillium Special thanks to: Woodmann, Deus, Gynvael Coldwind, Alex, Edi Strosar BaseServer转载 2013-08-07 12:31:50 · 1104 阅读 · 0 评论 -
文件读操作过程探究
R3->R0 过程 R0读取文件过程 相关内核对象 a) fileobject kd> dt fltobjects Local var @ 0xee55eb0c Type _FLT_RELATED_OBJECTS* 0xee55ebcc +0x000 Size : 0x18 +0x002 TransactionContext :原创 2013-07-01 10:31:43 · 977 阅读 · 0 评论 -
How NTFS Works
<br />Updated: March 28, 2003<br />Applies To: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2<br />How NTFS Works<br />In this sectionNTFS Architecture<br />NTFS Physical Structure<br />NTFS Processe原创 2011-04-13 14:04:00 · 2305 阅读 · 0 评论 -
File Caching
By default, Windows caches file data that is read from disks and written to disks. This implies that read operations read file data from an area in system memory known as the system file cache, rather than from the physical disk. Correspondingly, write ope原创 2011-04-13 13:53:00 · 1036 阅读 · 0 评论 -
windows 内存管理之 Section and View
http://msdn.microsoft.com/en-us/library/windows/hardware/ff563684(v=vs.85).aspx转载 2014-09-25 18:50:02 · 955 阅读 · 0 评论