台部落Wwoc

探索ring0 內核漏洞概述內核漏洞的分類運行在ring0上的操作系統內核、設備驅動、第三方驅動能共享同一個虛擬地址空間，可以完全訪問系統空間的所有內存，而不像用戶態進程那樣擁有獨立私有的內存空間。由於內核程序的特殊性，內

2020-05-15 12:53:58

今天主要把論文肝完了，雖然我的論文是真的水剛剛交了初稿有一些疲憊。前面學習驅動編程的目的主要是爲了學習內核漏洞打基礎，感覺差不多了，剩下的只有遇到了再回來補了。接下來一段時間的學習計劃從《0day 安全》第二版這本書開始入

2020-05-13 08:32:34

11.6 讀寫操作的過濾 11.6.1 設置一個讀處理函數文件系統有多種操作，但是讀寫操作仍然是最重要的。比如殺毒軟件對文件內容的讀寫進行監控，可以達到掃描病毒的目的。簡單一點就是，文件在被讀取時，殺毒軟件掃描其中是否含有病

2020-05-12 06:43:06

文件系統的過濾與監控 11.5 文件系統卷設備的綁定 11.5.1 從IRP中獲得VPB指針回憶前面說到的文件系統控制請求中的掛載請求。主功能號爲 IRP_MJ_FILE_SYSTEM_CONTROL，次功能號爲 IRP_M

2020-05-10 21:54:33

文件系統的過濾 11.4 文件系統控制設備的綁定 11.4.1 生成文件系統控制設備的過濾設備接下來要生成過濾設備，這裏再次用到設備拓展。下面給出過本過濾設備設備拓展的數據結構。 typedef struct _SFILTER

2020-05-10 05:21:33

文件系統的過濾與監控 11.3 設備的綁定前期工作 11.3.1 動態地選擇綁定函數 sfilter 有一個有趣的地方是，使用了動態加載的方法來使用內核函數。只有高版本的Windows系統上纔有IoAttachDeviceTo

2020-05-09 04:01:43

文件系統的過濾與監控文件系統的分發函數 11.2.1 普通的分發函數上一節僅僅生成了控制設備，開發文件過濾驅動的主要工作還是撰寫分發函數。在 DriverEntry 函數代碼中，DriverObject 是參數驅動對象指

2020-05-08 01:04:52

文件系統的過濾與監控文件系統過來吧的目標，是捕獲Windows系統對文件的種種操作行爲，比如文件的創建、打開、讀寫、目錄的創建、打開、枚舉、改名、刪除等。捕獲這些操作，能夠實現許多強大的功能，比如檢查病毒、數據加密、數據備份

2020-05-07 00:06:28

10.3.6 bitmap 的作用和分析在之前我們多次看到了bitmap，但是卻一直不知道它是什麼，它的作用是幹嘛。接下來我們去看，但是具體的bitmap 的實現很複雜，如果沒有特殊興趣的話，可以只看它的接口說明，而不管具體

2020-05-07 00:06:28

磁盤的過濾 10.3 驅動分析 10.3.5 DeviceIoControl 請求的處理該請求的處理函數是 DPDispatchDeviceControl ，作爲一個磁盤過濾設備，理論上是不需要對 DeciceControl

2020-05-05 22:08:09

磁盤的過濾 10.3 驅動分析 10.3.3 PnP 請求的處理作爲一個捲過濾驅動 PnP 請求處理是非常重要的，因爲 Windows 操作系統在某些時刻會向存儲設備發出專門的請求，如果沒有進行正確的處理，將會造成系統無法正

2020-05-04 02:14:23

文章目錄磁盤的過濾10.1 磁盤過濾驅動的概念10.1.1 設備過濾和類過濾10.1.2 磁盤設備和磁盤卷設備過濾驅動10.1.3 註冊表和磁盤卷設備過濾驅動10.2 具有還原功能的磁盤捲過濾驅動10.2.1 簡介10.2.2 基

2020-05-03 17:01:48

磁盤的虛擬 9.5 FAT12/16 磁盤卷初始化 9.5.2 Ramdisk 對磁盤的初始化在上一節中說到，在 Ramdisk 驅動中的 EvtDriverDeviceAdd 類函數裏會調用 RamDiskFormatDi

2020-05-02 16:13:52

文章目錄磁盤的虛擬9.4 EvtDriverAdd 函數9.4.5 用戶配置的初始化9.4.6 鏈接給應用程序9.4.7 小結9.5 FAT12/16 磁盤卷的初始化9.5.1 磁盤卷結構簡介明日計劃磁盤的虛擬 9.4 EvtD

2020-05-01 13:17:54

文章目錄磁盤的虛擬9.1 虛擬的磁盤9.2 一個具體的例子入口函數9.3.1 入口函數的定義9.3.2 Ramdisk 驅動入口函數9.4 EvtDriverDeviceAdd 函數9.4.1 EvtDriverDetivceAd

2020-04-30 11:31:07