Rootkit/驱动底层

exchen 14年前 (2011-05-21) 7375浏览

在内核中，通过进程ID，得到进程名称，有多种方法。 我使用了两种方法，第一种是使用ZwOpeProcess得到句柄 然后ObReferenceObjectByHandle函数得到PEPROCESS结构，然后 char *ProcessName = (...

exchen 15年前 (2010-06-29) 5014浏览

今天下载了 FileMon，编译之后，提示一个错误信息 E:/Data/100397/2007112823434719/FileMon/sys>build BUILD: Compile and Link for x86 BUILD: Loadi...

exchen 15年前 (2010-04-09) 4449浏览

Windows的内核函数在命名上有个很好的特色，就是函数名都按其所在的层次或模块加上了特定的前缀。了解了这些前缀，看到一个函数名就可以大致 知道这个函数所属的层次和模块，主要的前缀有： Ex：管理层，Ex 是 Executive 的开头两个字母。 K...

exchen 15年前 (2010-03-31) 4316浏览

#include <ntddk.h> typedef NTSTATUS (*PSPTERPROC) ( PEPROCESS Process, NTSTATUS ExitStatus ); PS...

exchen 16年前 (2009-10-18) 5044浏览

/* 在驱动程序中设置注册表表项 By exchen 2009-10-19 */ #include <ntddk.h> VOID DriverUnload(IN PDRIVER_OBJEC...

exchen 16年前 (2009-10-16) 4843浏览

转载请注明：exchen's blog » 写了一个驱动加载工具...

exchen 16年前 (2009-10-15) 4541浏览

#include "ntddk.h" #define BOOL int #pragma pack(1) typedef struct ServiceDescriptorEntry { unsigne...

exchen 16年前 (2009-10-15) 5174浏览

/* 在 Ring0 中列举进程 by exchen 2009-10-10 */ #include "ntddk.h" typedef enum _SYSTEM_INFORMATION_CLASS { ...

exchen 16年前 (2009-10-10) 4816浏览

驱动程序代码 /* Hook ZwOpenProcess by exchen 2009-10-10 */ #include "ntddk.h" #define NT_DEVICE_NAME ...

exchen 16年前 (2009-10-08) 5078浏览

/* 在Ring0中结束进程 by exchen 2009-10-08 */ #include<ntddk.h> #include<wdm.h> NTSTATUS Unlo...

exchen 16年前 (2009-10-08) 5977浏览

驱动程序代码 #include <ntddk.h> #define IOCTL_TEST1 CTL_CODE(\ FILE_DEVICE_UNKNOWN, \ 0x100, \ METHOD_B...

exchen 16年前 (2009-10-07) 5687浏览

驱动程序代码 #include <ntddk.h> #define IOCTL_TEST1 CTL_CODE(\ FILE_DEVICE_UNKNOWN, \ 0x100, \ METHOD_B...