原创 探索ring0-內核漏洞概述 和 實驗環境配置
探索ring0 內核漏洞概述 內核漏洞的分類 運行在ring0上的操作系統內核、設備驅動、第三方驅動能共享同一個虛擬地址空間,可以完全訪問系統空間的所有內存,而不像用戶態進程那樣擁有獨立私有的內存空間。由於內核程序的特殊性,內
原创 20-5-12沒學
今天主要把論文肝完了,雖然我的論文是真的水剛剛交了初稿有一些疲憊。前面學習驅動編程的目的主要是爲了學習內核漏洞打基礎,感覺差不多了,剩下的只有遇到了再回來補了。 接下來一段時間的學習計劃 從《0day 安全》第二版這本書開始入
原创 《Windows內核安全與驅動編程》-第十一章文件系統的過濾與監控-day6
11.6 讀寫操作的過濾 11.6.1 設置一個讀處理函數 文件系統有多種操作,但是讀寫操作仍然是最重要的。比如殺毒軟件對文件內容的讀寫進行監控,可以達到掃描病毒的目的。簡單一點就是,文件在被讀取時,殺毒軟件掃描其中是否含有病
原创 《Windows內核安全與驅動編程》-第十一章文件系統的過濾與監控-day5
文件系統的過濾與監控 11.5 文件系統卷設備的綁定 11.5.1 從IRP中獲得VPB指針 回憶前面說到的文件系統控制請求中的掛載請求。主功能號爲 IRP_MJ_FILE_SYSTEM_CONTROL,次功能號爲 IRP_M
原创 《Windows內核安全與驅動編程》-第十一章文件系統的過濾與監控-day4
文件系統的過濾 11.4 文件系統控制設備的綁定 11.4.1 生成文件系統控制設備的過濾設備 接下來要生成過濾設備,這裏再次用到設備拓展。下面給出過本過濾設備設備拓展的數據結構。 typedef struct _SFILTER
原创 《Windows內核安全與驅動編程》-第十一章文件系統的過濾與監控-day3
文件系統的過濾與監控 11.3 設備的綁定前期工作 11.3.1 動態地選擇綁定函數 sfilter 有一個有趣的地方是,使用了動態加載的方法來使用內核函數。只有高版本的Windows系統上纔有IoAttachDeviceTo
原创 《Windows內核安全與驅動編程》-第十一章文件系統的過濾與監控-day2
文件系統的過濾與監控 文件系統的分發函數 11.2.1 普通的分發函數 上一節僅僅生成了控制設備,開發文件過濾驅動的主要工作還是撰寫分發函數。在 DriverEntry 函數代碼中,DriverObject 是參數驅動對象指
原创 《Windows內核安全與驅動編程》-第十一章文件系統的過濾與監控-day1
文件系統的過濾與監控 文件系統過來吧的目標,是捕獲Windows系統對文件的種種操作行爲,比如文件的創建、打開、讀寫、目錄的創建、打開、枚舉、改名、刪除等。捕獲這些操作,能夠實現許多強大的功能,比如檢查病毒、數據加密、數據備份
原创 《Windows內核安全與驅動編程》-第十章-磁盤的過濾學習-day4
10.3.6 bitmap 的作用和分析 在之前我們多次看到了bitmap,但是卻一直不知道它是什麼,它的作用是幹嘛。接下來我們去看,但是具體的bitmap 的實現很複雜,如果沒有特殊興趣的話,可以只看它的接口說明,而不管具體
原创 《Windows內核安全與驅動編程》-第十章-磁盤的過濾學習-day3
磁盤的過濾 10.3 驅動分析 10.3.5 DeviceIoControl 請求的處理 該請求的處理函數是 DPDispatchDeviceControl ,作爲一個磁盤過濾設備,理論上是不需要對 DeciceControl
原创 《Windows內核安全與驅動編程》-第十章-磁盤的過濾學習-day2
磁盤的過濾 10.3 驅動分析 10.3.3 PnP 請求的處理 作爲一個捲過濾驅動 PnP 請求處理是非常重要的,因爲 Windows 操作系統在某些時刻會向存儲設備發出專門的請求,如果沒有進行正確的處理,將會造成系統無法正
原创 《Windows內核安全與驅動編程》-第十章-磁盤的過濾學習-day1
文章目錄磁盤的過濾10.1 磁盤過濾驅動的概念10.1.1 設備過濾和類過濾10.1.2 磁盤設備和磁盤卷設備過濾驅動10.1.3 註冊表和磁盤卷設備過濾驅動10.2 具有還原功能的磁盤捲過濾驅動10.2.1 簡介10.2.2 基
原创 《Windows內核安全與驅動編程》-第九章-磁盤的虛擬-day-3.md
磁盤的虛擬 9.5 FAT12/16 磁盤卷初始化 9.5.2 Ramdisk 對磁盤的初始化 在上一節中說到,在 Ramdisk 驅動中的 EvtDriverDeviceAdd 類函數裏會調用 RamDiskFormatDi
原创 《Windows內核安全與驅動編程》-第九章-磁盤的虛擬-day-2
文章目錄磁盤的虛擬9.4 EvtDriverAdd 函數9.4.5 用戶配置的初始化9.4.6 鏈接給應用程序9.4.7 小結9.5 FAT12/16 磁盤卷的初始化9.5.1 磁盤卷結構簡介明日計劃 磁盤的虛擬 9.4 EvtD
原创 《Windows內核安全與驅動編程》-第九章-磁盤的虛擬-day-1
文章目錄磁盤的虛擬9.1 虛擬的磁盤9.2 一個具體的例子入口函數9.3.1 入口函數的定義9.3.2 Ramdisk 驅動入口函數9.4 EvtDriverDeviceAdd 函數9.4.1 EvtDriverDetivceAd