搜索资源列表
枚举打开文件句柄
- 遍历进程枚举打开的文件句柄,可以说是文件删除利器。有多种删除方式R3 R0层
探索NDIS HOOK新的实现方法
- NDIS HOOK是专业级防火墙使用的一种拦截技术,NDIS HOOK的重点是如何获得特定协议对应NDIS_PROTOCOL_BLOCK指针,获得了该指针,接下来就可以替换该协议所注册的收发函数,而达到拦截网络数据的目的。 获 得NDIS_PROTOCOL_BLOCK指针的方法一般是用NdisRegisterProtocol注册一个新的协议,所获得的协议句柄实际上就是一 个NDIS_PROTOCOL_BLOCK指针,顺着该指针遍历NDIS_PROTOCOL_BLOCK链表,就可以
pcsc
- 调用smartcard遍历PCSC读写器并连接发送指令-Traverse smartcard reader PCSC call and connect to send commands
EPROCESS_ActiveProcessLinks
- 这个EPROCESS结构在ntddk.h中有定义,但是并未给出具体的结构,因此要得到EPROCESS中一些重要的成员变量,只能通过偏移的方法,比如PID,ImageName等.这些偏移可以在Windbg中dt _EPROCESS得到,但是不公开感觉还是不爽,而且这东西在不同的系统版本中不一样,如果要兼容的话,就必须先判断操作系统版本,遍历EPROCESS中的进程-The ntddk.h EPROCESS structure are defined, but did not give a spec
KernellModule
- 遍历内核模块,相当不错的代码,看了很久书才会得-Traverse the kernel module, the code is quite good, will have to read long books
PCI-test_0410
- 遍历PC的PCI设备。读取配置空间。分析基地址寄存器。得到设备的IO空间和内存空间。-Find PCI device in PC.Get the PCI configuration space.
USBDetect
- 此代码是遍历pc上usb设备。 包含控制器 hub port 设配id 等信息 usb其实和串口是一样的,其端口也是固定的(如果你不接扩展hub)。 有时一台电脑接多个相同的usb设备,如果接连个摄像头(前后各一个),我们如果区分打开的是哪一个呢? 1、先把usb设备先遍历出来,得到usb信息(设备串等)。 2、通过打开usb设备时返回信息(这个很重要 //usb#vid_1d27&pid_0600#5&10ef021e&0&5#{c3b5f022-5a42-1980-
EnumSsdt
- 通过驱动获取ssdt地址,遍历各个ssdt函数以及获取源ssdt地址-By drive to get ssdt address, traversing the function of each ssdt and access to source ssdt address
shadow-ssdt
- 遍历shadow ssdt 的代码 会win窗体HOOK 很有帮助-Traverse shadow ssdt code will win form HOOK helpful
EnumDriver
- 遍历所有驱动 并在dbgview中显示-Through all display drivers and dbgview
Traversing-the-SSDT-address
- 遍历windows7 X64 的SSDT表,自己写的,和大家一起学习,需要的可以看看。-SSDT table traverse Windows7 X64, writing, and studying with you, need to look at.
standardinfo-Eof
- Minifilter 进行驱动层次的加解密的一个验证Demo,用来精准的获取文件的信息! 1、正确地初始化链表,加入各个文件名链表节点。(获得写锁) 2、只会在PreCreate中获取文件的名称!(如果不成功,则再也不关心NCB!) 3、在PreCreate中,遍历名称的链表。如果有匹配项,则调用相应的PostCreate。绑定相应的上下文。 4、PostCreate中对:目录的准确识别。FltIsDirectory() -PostCreate Uses FltIsDirect
cid
- 通过PspCidTable遍历进程线程,并用PspTerminateThreadByPointer结束,无硬编码,在XP下测试通过((Baidu Translate)Through the PspCidTable traversal process thread, and ended with PspTerminateThreadByPointer, no hard coding, tested under XP.)