台部落zy_strive

先簡單介紹下PatchGuard ，摘自百度百科 PatchGuard就是Windows Vista的內核保護系統，防止任何非授權軟件試圖“修改”Windows內核，也就是說，Vista內核的新型金鐘罩。 PatchGuard爲Windo

2020-05-26 15:00:47

類似文章鏈接：https://www.freebuf.com/articles/system/228338.html 近期，Sophos安全團隊發現了一起新型勒索軟件攻擊事件，該勒索軟件能通過合法且經過數字簽名的硬件驅動程序，在惡意文件加

2020-05-26 15:00:47

原創鏈接：https://bbs.pediy.com/thread-222949.htm 本篇以x86(開啓PAE) 以及x64 Win7系統不借助微軟API突破內存的寫拷貝機制進行講述 0x01 Before Starting

2020-05-14 08:21:30

參考鏈接：https://bbs.pediy.com/thread-203391.htm 早就知道傳上來排版會全亂掉，把pdf直接傳上來吧x64結構體系尋址.pdf 發現安大的關於x86啓用PAE下的虛擬地址轉物理地址的帖子，大家可以參考

2020-05-14 08:21:30

在應用層和驅動的通訊中採用iocontrol的方式，應用層只要提供一個iocontrol碼，就可以調用驅動中的內容。 Switch(iocontrol) { Case1:... Case2:... Case3:... ...... } 一

2020-05-09 10:22:45

修改一個程序的過程如下：1、獲得進程的句柄 2、以一定的權限打開進程 3、調用ReadProcessMemory讀取內存，WriteProcessMemory修改內存，這也是內存補丁的實現過程。下面貼出的是調用ReadProcessMem

2020-02-24 07:27:47

看《Windows驅動程序開發技術詳解》的朋友們可能發現，按照書上的代碼寫了（抄了）HelloDDK後安裝運行後正常，但卸載時發現Windows 7 藍屏了，報錯信息爲PAGE_FAULT_IN_NON_PAGED_AREA （這可着實嚇

2020-02-24 07:27:47

背景: 近段時間一個項目需要IRP操作文件.於是.搜索硬盤.把好幾年前的代碼找出來.說起這個代碼,需要感謝黑月教主(achillis)和爐子.當時爐子開源了PsVoid. 裏面就有Irp操作文件.但是抄了之後.win7藍屏.當時水

2020-02-24 07:27:47

一、生成Dump文件方式 1.1任務管理器在程序崩潰後，先不關閉程序，在任務管理器中找到該程序對應的進程。右鍵—>創建轉儲文件。此時會在默認的目錄下創建出一個dump文件。可以看出，此種方法只適用於程序崩潰但沒有

2020-02-24 07:27:47

在內核程序開發中，我們常常需要取得某進程的pid或句柄，或者需要檢索進程的eprocess結構，很多API函數需要的參數也不同，所以掌握pid<->handle<->eprocess相互轉換的方法會大大提高我們的開發效率。以下就是我自己

2020-02-24 07:27:47

發現Windows操作系統在啓用數字簽名的情況下部分外接設備的驅動無法安裝，設備無法使用，可以考慮通過禁用數字簽名的方式來讓我們的驅動能夠安裝成功 Windows+x，以管理員打開命令提示符（cmd），執行以下命令，看到提示操作成功完成，

2020-02-24 07:27:47

鏈接：https://blog.csdn.net/zhuhuibeishadiao/article/details/51055046

2020-02-24 07:27:37

FF_BlackBone介紹作爲Windows開發人員，經常遇到枚舉進程、枚舉模塊、讀寫進程內存的操作；Windows安全開發人員更是會涉及注入、hook、操作PE文件、編寫驅動。每次都要翻各種資料製造輪子，那麼有沒有好的開源庫

2020-02-24 07:27:37

https://blog.csdn.net/mrpre/article/details/78025940 包含ECDHE密鑰交換協議

2020-02-24 07:27:37

這種通信方式，就是驅動程序和應用程序自定義一種IO控制碼，然後調用DeviceIoControl函數，IO管理器會產生一個MajorFunction 爲IRP_MJ_DEVICE_CONTROL（DeviceIoControl函數

2020-02-24 07:27:37