学习
实践
活动
工具
TVP
写文章

LyShark 孤风洗剑

LV0
举报
发表了文章

驱动开发:实现驱动加载卸载工具

驱动程序加载工具有许多,最常用的当属KmdManager工具,如果驱动程序需要对外发布那我们必须自己编写实现一个驱动加载工具,当需要使用驱动时可以拉起自己的驱动...

LyShark 孤风洗剑
发表了文章

驱动开发:封装x64内核驱动读写

内核级别的内存读写可用于绕过各类驱动保护,从而达到强制读写对端内存的目的,本人闲暇之余封装了一个驱动级的内核读写接口,使用此接口可实现对远程字节,字节集,整数,...

LyShark 孤风洗剑
网络安全
发表了文章

驱动开发:摘链DKOM进程隐藏

DKOM 即直接内核对象操作,我们所有的操作都会被系统记录在内存中,而驱动进程隐藏就是操作进程的EPROCESS结构与线程的ETHREAD结构、链表,要实现进程...

LyShark 孤风洗剑
编程算法
发表了文章

驱动开发:内核中的链表与结构体

Windows内核中是无法使用vector容器等数据结构的,当我们需要保存一个结构体数组时,就需要使用内核中提供的专用链表结构LIST_ENTRY通过一些列链表...

LyShark 孤风洗剑
编程算法存储
发表了文章

驱动开发:内核CR3切换读写内存

首先CR3是什么,CR3是一个寄存器,该寄存器内保存有页目录表物理地址(PDBR地址),其实CR3内部存放的就是页目录表的内存基地址,运用CR3切换可实现对特定...

LyShark 孤风洗剑
单片机
发表了文章

驱动开发:内核中的自旋锁结构

提到自旋锁那就必须要说链表,在上一篇《驱动开发:内核中的链表与结构体》文章中简单实用链表结构来存储进程信息列表,相信读者应该已经理解了内核链表的基本使用,本篇文...

LyShark 孤风洗剑
编程算法腾讯云开发者社区
发表了文章

驱动开发:内核字符串转换方法

在内核编程中字符串有两种格式ANSI_STRING与UNICODE_STRING,这两种格式是微软推出的安全版本的字符串结构体,也是微软推荐使用的格式,通常情况...

LyShark 孤风洗剑
unicode编程算法
发表了文章

驱动开发:内核字符串拷贝与比较

在上一篇文章《驱动开发:内核字符串转换方法》中简单介绍了内核是如何使用字符串以及字符串之间的转换方法,本章将继续探索字符串的拷贝与比较,与应用层不同内核字符串拷...

LyShark 孤风洗剑
unicode编程算法
发表了文章

驱动开发:通过ReadFile与内核层通信

驱动与应用程序的通信是非常有必要的,内核中执行代码后需要将其动态显示给应用层,但驱动程序与应用层毕竟不在一个地址空间内,为了实现内核与应用层数据交互则必须有通信...

LyShark 孤风洗剑
发表了文章

驱动开发:通过PIPE管道与内核层通信

在本人前一篇博文《驱动开发:通过ReadFile与内核层通信》详细介绍了如何使用应用层ReadFile系列函数实现内核通信,本篇将继续延申这个知识点,介绍利用P...

LyShark 孤风洗剑
Bash
发表了文章

驱动开发:通过Async反向与内核通信

在前几篇文章中给大家具体解释了驱动与应用层之间正向通信的一些经典案例,本章将继续学习驱动通信,不过这次我们学习的是通过运用Async异步模式实现的反向通信,反向...

LyShark 孤风洗剑
编程算法JavaScriptNode.js
发表了文章

驱动开发:应用DeviceIoContro开发模板

内核中执行代码后需要将结果动态显示给应用层的用户,DeviceIoControl 是直接发送控制代码到指定的设备驱动程序,使相应的移动设备以执行相应的操作的函数...

LyShark 孤风洗剑
发表了文章

驱动开发:判断自身是否加载成功

在驱动开发中我们有时需要得到驱动自身是否被加载成功的状态,这个功能看似没啥用实际上在某些特殊场景中还是需要的,如下代码实现了判断当前驱动是否加载成功,如果加载成...

LyShark 孤风洗剑
编程算法
发表了文章

驱动开发:内核取ntoskrnl模块基地址

模块是程序加载时被动态装载的,模块在装载后其存在于内存中同样存在一个内存基址,当我们需要操作这个模块时,通常第一步就是要得到该模块的内存基址,模块分为用户模块和...

LyShark 孤风洗剑
API
发表了文章

驱动开发:内核取应用层模块基地址

在上一篇文章《驱动开发:内核取ntoskrnl模块基地址》中我们通过调用内核API函数获取到了内核进程ntoskrnl.exe的基址,当在某些场景中,我们不仅需...

LyShark 孤风洗剑
腾讯云开发者社区编程算法
发表了文章

驱动开发:内核通过PEB得到进程参数

PEB结构(Process Envirorment Block Structure)其中文名是进程环境块信息,进程环境块内部包含了进程运行的详细参数信息,每一个...

LyShark 孤风洗剑
Node.js
发表了文章

驱动开发:内核R3与R0内存映射拷贝

在上一篇博文《驱动开发:内核通过PEB得到进程参数》中我们通过使用KeStackAttachProcess附加进程的方式得到了该进程的PEB结构信息,本篇文章同...

LyShark 孤风洗剑
编程算法
发表了文章

驱动开发:内核中实现Dump进程转储

多数ARK反内核工具中都存在驱动级别的内存转存功能,该功能可以将应用层中运行进程的内存镜像转存到特定目录下,内存转存功能在应对加壳程序的分析尤为重要,当进程在内...

LyShark 孤风洗剑
编程算法腾讯云开发者社区
发表了文章

驱动开发:内核遍历进程VAD结构体

在上一篇文章《驱动开发:内核中实现Dump进程转储》中我们实现了ARK工具的转存功能,本篇文章继续以内存为出发点介绍VAD结构,该结构的全程是Virtual A...

LyShark 孤风洗剑
编程算法腾讯云开发者社区
发表了文章

驱动开发:内核枚举IoTimer定时器

今天继续分享内核枚举系列知识,这次我们来学习如何通过代码的方式枚举内核IoTimer定时器,内核定时器其实就是在内核中实现的时钟,该定时器的枚举非常简单,因为在...

LyShark 孤风洗剑
物联网编程算法存储

个人简介

个人成就

扫码关注腾讯云开发者

领取腾讯云代金券