开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

隐藏NT驱动程序函数的官方文档

隐藏NT驱动程序函数是指在Windows操作系统中，通过一些技术手段将驱动程序中的某些函数隐藏起来，使其对外部用户不可见。这样做的目的是为了保护驱动程序的安全性和稳定性，防止恶意用户对驱动程序进行非法操作或者攻击。

隐藏NT驱动程序函数可以通过以下几种方式实现：

静态隐藏：在编译和链接阶段，通过修改驱动程序的代码或者符号表，将需要隐藏的函数从可执行文件中删除或者重命名，使其在运行时无法被外部调用。
动态隐藏：在驱动程序运行时，通过修改内存中的函数地址或者IAT（Import Address Table）表，将需要隐藏的函数地址修改为无效地址或者其他函数的地址，使其无法被外部调用。
Hook技术：通过在驱动程序中插入钩子函数，拦截对需要隐藏的函数的调用，并返回错误或者其他结果，达到隐藏函数的效果。

隐藏NT驱动程序函数的优势包括：

提高安全性：隐藏关键函数可以防止恶意用户对驱动程序进行非法操作或者攻击，提高系统的安全性。
保护知识产权：隐藏函数可以防止他人通过逆向工程等手段获取驱动程序的源代码或者核心算法，保护知识产权。
提高稳定性：隐藏某些函数可以防止外部用户错误地调用这些函数，导致系统崩溃或者出现其他异常情况，提高系统的稳定性。

隐藏NT驱动程序函数的应用场景包括：

防护软件：一些防护软件会隐藏自身的关键函数，防止黑客或者病毒对其进行攻击或者绕过。
数字版权保护：一些数字版权保护软件会隐藏关键函数，防止用户对其进行破解或者绕过。
安全驱动程序：一些安全驱动程序会隐藏关键函数，防止恶意用户对其进行非法操作或者攻击。

腾讯云相关产品和产品介绍链接地址：

腾讯云提供了一系列云计算相关的产品和服务，包括云服务器、云数据库、云存储、人工智能等。具体可以参考腾讯云官方文档和产品介绍页面：

腾讯云服务器（云主机）：提供高性能、可扩展的云服务器实例，满足不同规模和需求的应用场景。详细信息请参考：https://cloud.tencent.com/product/cvm
腾讯云数据库：提供多种类型的云数据库服务，包括关系型数据库（MySQL、SQL Server、PostgreSQL等）和非关系型数据库（MongoDB、Redis等）。详细信息请参考：https://cloud.tencent.com/product/cdb
腾讯云对象存储（COS）：提供安全、稳定、高可用的云存储服务，适用于存储和管理各种类型的数据。详细信息请参考：https://cloud.tencent.com/product/cos
腾讯云人工智能（AI）：提供多种人工智能相关的服务和工具，包括图像识别、语音识别、自然语言处理等。详细信息请参考：https://cloud.tencent.com/product/ai

相关搜索:mysql的官方文档 mysql官方文档的使用官方文档中缺少nestjs graphql的文档使用官方C#驱动程序更新MongoDB中的嵌入式文档微信js sdk的官方文档 chrome.app的官方文档在哪里？微信js sdk的官方文档下载 NT_Xent对比损失函数的Tensorflow实现？delphi应用程序和Windows NT系统驱动程序之间的通信 MATLAB官方文档示例色彩映射表函数不能用于imshow？是否有使用App Store API的官方文档？如何实现flink官方文档中的`MyTupleReducer`类官方的tkinter文档或github存储库在哪里？是否像文档中那样隐藏了Swift中的函数实现？如何从我的C#XML文档注释中链接到MSDN /官方文档？python:sys.argv [0]在官方文档中的含义我在哪里可以得到pdf格式的官方PyTorch文档？怎么看文档的隐藏域名在哪里可以访问以前版本的官方在线Rails API文档？在官方接口文档中可以找到Model.deleteOne的用法？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

windows驱动开发教程_windows内核驱动开发

因工作上项目的需要，笔者需要做驱动相关的开发，之前并没有接触过相关的知识，折腾一段时间下来，功能如需实现了，也积累了一些经验和看法，所以在此做番总结。

02

服务器可以ghost备份吗_服务器可以用dism备份吗

无论驱动器使用软件级 RAID 还是硬件级 RAID，赛门铁克都不提供制作 RAID 驱动器映像的技术支持。能否成功制作 RAID 驱动器映像取决于特定的计算机模型、驱动程序控制器、硬盘驱动器和 RAID 实现方式。赛门铁克提供以下信息，仅用于帮助克隆 RAID 驱动器。此信息仅供参考，并且仅适用于限定的环境。赛门铁克对使用以下信息不提供支持。

05

驱动开发：内核无痕隐藏自身分析

在笔者前面有一篇文章《驱动开发：断链隐藏驱动程序自身》通过摘除驱动的链表实现了断链隐藏自身的目的，但此方法恢复时会触发PG会蓝屏，偶然间在网上找到了一个作者介绍的一种方法，觉得有必要详细分析一下他是如何实现的驱动隐藏的，总体来说作者的思路是最终寻找到MiProcessLoaderEntry的入口地址，该函数的作用是将驱动信息加入链表和移除链表，运用这个函数即可动态处理驱动的添加和移除问题。

04

通过 NT 符号链接重定向杀死 Defender，同时保持其不受打扰

使用管理员级别的权限并且无需与 GUI 交互，可以通过重定向 NT 符号链接来阻止 Defender 执行其工作，同时保持其活动状态，并且不会禁用篡改保护，该\Device\BootDevice链接是 NT 路径的一部分，从中加载 Defender 的 WdFilter 驱动程序二进制文件.这也可以用来使 Defender 加载任意驱动程序，没有工具可以成功定位，但它无法在重新启动后继续存在。执行此操作的代码位于 APTortellini 的 Github 存储库unDefender中。

08

PrintNightmare

PrintNightmare (CVE-2021-1675): Remote code execution in Windows Spooler Service》相关POC和漏洞信息

01

驱动开发：DKOM 实现进程隐藏

DKOM 就是直接内核对象操作技术，我们所有的操作都会被系统记录在内存中，而驱动进程隐藏的做旧就是操作进程的EPROCESS结构与线程的ETHREAD结构、链表，要实现进程的隐藏我们只需要将某个进程中的信息，在系统EPROCESS链表中摘除即可实现进程隐藏。

01

驱动程序模型:wddm2.0_编写一个简单的驱动

WDF驱动程序开发 1. 引言设备驱动程序是硬件设备连接到计算机系统的软件接口，任何设备都必须有相应的驱动程序才能在计算机系统上正常工作。设备驱动程序的优劣直接关系到整个系统的性能和稳定性，因此，设计和开发稳定高效的驱动程序具有重要意义。

02

驱动开发：DKOM 实现进程隐藏

DKOM 就是直接内核对象操作技术，我们所有的操作都会被系统记录在内存中，而驱动进程隐藏的做旧就是操作进程的EPROCESS结构与线程的ETHREAD结构、链表，要实现进程的隐藏我们只需要将某个进程中的信息，在系统EPROCESS链表中摘除即可实现进程隐藏。

02

应用程序与驱动程序通信 DeviceIoControl

之前写过一篇关于通过DeviceIoControl函数来使应用程序与驱动程序通信的博客，这次再通过这个完整的代码来简要疏通总结一下。

03

应用程序与驱动程序通信 DeviceIoControl

这种通信方式，就是驱动程序和应用程序自定义一种IO控制码，然后调用DeviceIoControl函数，IO管理器会产生一个MajorFunction 为IRP_MJ_DEVICE_CONTROL（DeviceIoControl函数会产生此IRP），MinorFunction 为自己定义的控制码的IRP，系统就调用相应的处理IRP_MJ_DEVICE_CONTROL的派遣函数，你在派遣函数中判断MinorFunction ，是自定义的控制码你就进行相应的处理。

02

基于WDF的PCI/PCIe接口卡Windows驱动程序（4）- 驱动程序代码（源文件）

原文出处：http://www.cnblogs.com/jacklu/p/4687325.html

03

WDM 驱动程序开发[通俗易懂]

1.概述引入了全新的WDM (Win32 Driver Model)的驱动程序架构，说是新技术，其实早在1997年Microsoft就提出了该项技术并在Windows 98中得到了充分的应用，换句话说，Windows 98也支持WDM。这样WDM就成为了一个跨平台的驱动程序模型不仅如此WDM驱动程序还可以在不修改源代码的情况下经过重新编译后在非Intel平台上运行。 2．WDM设备驱动程序的特点和原理2.1通用驱动程序对基本上一样的硬件，因为他们共享一个总线或完成类似的任务，设备驱动程序可以使用这些标准的驱动程序功能，使公共总线的共享容易，且更容易写出新的驱动程序，总线驱动程序，如USB、1394，和类驱动程序。(1)Win32程序接口：可以使用Win32函数像访问文件那样访问设备CreateFile() 、Closehandle()、ReadFile()、WriteFile()、DeviceIoControl（）用于发出特殊请求，可发送数据给驱动和从驱动得到数据，IOCTL代码可以是预先定义的也可是自己定义的。(2)创建设备大多数WDM设备对象都是在PnP管理器中调用AddDevice入口时创建，这个PnP 例程在插入新设备和安装Inf文件时被调用，此后一系列的PnP IRP被发送到驱动程序，指示设备应如何启动和查询它的功能2.2WDM-的工作原理WDM是在NT 4.0驱动程序结构上发展起来的，所以它与NT 4.0驱动程序极为相似 ,但是它却有了本质上的提高，比如它支持USB、IEEE 1394、ACPI等全新的硬件标准。虽然Windows 98与Windows 2000都支持WDM，可是并不意味着Windows 98下的VxD可以在 Windows 2000下运行，而NT下的WDM却可以在Windows 98下运行。不过原先准备在两个平台上同时运行需要编写两个截然不同的驱动程序，而现在只需要编写一个WDM驱动程序就可以了。同NT 4.0驱动程序一样，WDM驱动程序也是分层的，即不同层上的驱动程序有着不同的优先权，而Windows 9x下的VxD则没有此结构。另外，WDM还引入了功能设备对象 FDO（functional device object）与物理设备对象PDO（physical device object）两个新概念来描述硬件，一个PDO代表一个真实硬件，在驱动程序看来则是一个FDO 。另外值得注意的是，一个硬件只允许有一个PDO，但却可以拥有多个FDO，而在驱动程序中我们不是直接操作硬件而是操作相应的PDO与FDO。在Ring-3与Ring-0通讯方面，操作系统为每一个用户请求打包成一个IRP（IO Request Packet）结构，将其发送至驱动程序并通过识别IRP中的PDO来识别是发送给哪一个设备的。另外，在驱动程序的加载方面WDM既不靠驱动程序名称也不靠一个具有某种特殊意义的ID，而是依靠一个128位的GUID来识别驱动程序（Windows下许多东西都是靠此进行识别的）。 2.3　IRP处理 I/O请求包IRP是驱动程序操作的中心，IRP是一个内核对象，它是预先定义好的数据结构，带有一组对它进行操作的I/O管理器例程，I/O管理器接受一个I/O请求，然后将它传送到合适的驱动程序栈中的最高驱动程序之前，分配并处始化一个IRP，每个I/O请求有主功能代码 2.4 IRP参数比如一个写的I/O请求转换成一个IRP时，I/O管理器填写主要的IRP首部，并构造第一个个栈单元，对写请求来讲，首部包含用户缓冲区信息，而栈单元则包含写的具体参数。如果调用另一个驱动则必须创建下一个栈单元。一个IRP到栈顶时，使用PIO_STACK_LOCATION IoGetCurrentIrpStackLocation( IN PIRP Irp );IoGetCurrentIrpStackLocation returns a pointer to the caller’s stack location in the given IRP。如决定需要把这个IRP沿设备栈向下传递，使用IoCopyCurrentIrpStackLocationToNext or IoSkipCurrentIrpStackLocation简单的将内容复制到下一个单元，如果要更改下一个栈单元，要使用LOCATION IoGetNextIrpStackLocation(IN PIRP Irp );IoGetNextIrpStackLocation gives a higher level driver access to the next-lower driver’s I/O stack location in an IRP so the caller can set it up for the l

02

解决./nvidia-installer: invalid option: "‐‐no‐opengl‐files" ERROR: Invalid command

在安装NVIDIA驱动程序时，有时可能会遇到类似于"./nvidia-installer: invalid option: "--no-opengl-files" ERROR: Invalid commandline, please run `的错误信息。这个错误通常是由于命令行选项或参数错误导致的。本篇文章将介绍如何解决这个错误并成功安装NVIDIA驱动程序。

01

驱动开发：内核解锁与强删文件

在某些时候我们的系统中会出现一些无法被正常删除的文件，如果想要强制删除则需要在驱动层面对其进行解锁后才可删掉，而所谓的解锁其实就是释放掉文件描述符（句柄表）占用，文件解锁的核心原理是通过调用ObSetHandleAttributes函数将特定句柄设置为可关闭状态，然后在调用ZwClose将其文件关闭，强制删除则是通过ObReferenceObjectByHandle在对象上提供相应的权限后直接调用ZwDeleteFile将其删除，虽此类代码较为普遍，但作为揭秘ARK工具来说也必须要将其分析并讲解一下。

02

8.2 Windows驱动开发：内核解锁与强删文件

在某些时候我们的系统中会出现一些无法被正常删除的文件，如果想要强制删除则需要在驱动层面对其进行解锁后才可删掉，而所谓的解锁其实就是释放掉文件描述符（句柄表）占用，文件解锁的核心原理是通过调用ObSetHandleAttributes函数将特定句柄设置为可关闭状态，然后在调用ZwClose将其文件关闭，强制删除则是通过ObReferenceObjectByHandle在对象上提供相应的权限后直接调用ZwDeleteFile将其删除。

01

驱动开发：摘链DKOM进程隐藏

DKOM 即直接内核对象操作，我们所有的操作都会被系统记录在内存中，而驱动进程隐藏就是操作进程的EPROCESS结构与线程的ETHREAD结构、链表，要实现进程的隐藏我们只需要将某个进程中的信息，在系统EPROCESS链表中摘除即可实现进程隐藏。

02

驱动开发：内核解锁与强删文件

在某些时候我们的系统中会出现一些无法被正常删除的文件，如果想要强制删除则需要在驱动层面对其进行解锁后才可删掉，而所谓的解锁其实就是释放掉文件描述符（句柄表）占用，文件解锁的核心原理是通过调用ObSetHandleAttributes函数将特定句柄设置为可关闭状态，然后在调用ZwClose将其文件关闭，强制删除则是通过ObReferenceObjectByHandle在对象上提供相应的权限后直接调用ZwDeleteFile将其删除，虽此类代码较为普遍，但作为揭秘ARK工具来说也必须要将其分析并讲解一下。

04

C语言驱动开发之内核解锁与强删文件

在某些时候我们的系统中会出现一些无法被正常删除的文件，如果想要强制删除则需要在驱动层面对其进行解锁后才可删掉，而所谓的解锁其实就是释放掉文件描述符（句柄表）占用，文件解锁的核心原理是通过调用ObSetHandleAttributes函数将特定句柄设置为可关闭状态，然后在调用ZwClose将其文件关闭，强制删除则是通过ObReferenceObjectByHandle在对象上提供相应的权限后直接调用ZwDeleteFile将其删除，虽此类代码较为普遍，但作为揭秘ARK工具来说也必须要将其分析并讲解一下。

04

解决问题Check failed: error == cudaSuccess (35 vs. 0) CUDA driver version is insuffi

这个错误一般表示你的CUDA驱动版本不兼容当前的CUDA运行时版本。这篇文章将向你展示如何解决这个问题。

01

Windows内核开发-3-内核编程基础

这里会深入讲解kernel内核的API、结构体、和一些定义。考察代码在内核驱动中运行的机制。最后把所有知识合在一起写一个有用的驱动。

03

ERROR: Installation has failed. Please see the file '/var/log/nvidia-installer.

ERROR: Installation has failed. Please see the file '/var/log/nvidia-installer.log' for details. You may find suggestions on fixing installation problems in the README available on the Linux driver download page at www.nvidia.com.

04

8.4 Windows驱动开发：文件微过滤驱动入门

MiniFilter 微过滤驱动是相对于SFilter传统过滤驱动而言的，传统文件过滤驱动相对来说较为复杂，且接口不清晰并不符合快速开发的需求，为了解决复杂的开发问题，微过滤驱动就此诞生，微过滤驱动在编写时更简单，多数IRP操作都由过滤管理器(FilterManager或Fltmgr)所接管，因为有了兼容层，所以在开发中不需要考虑底层IRP如何派发，更无需要考虑兼容性问题，用户只需要编写对应的回调函数处理请求即可，这极大的提高了文件过滤驱动的开发效率。

01

实战DeviceIoControl 之中的一个：通过API訪问设备驱动程序

Q 在NT/2000/XP中，我想用VC编写应用程序訪问硬件设备，如获取磁盘參数、读写绝对扇区数据、測试光驱实际速度等，该从哪里入手呢？

01

windows kernel之HEVD栈溢出

首先使用osrload安装HEVD驱动，win10系统需要禁用驱动签名检测，然后成功安装后使用windbg下面的命令可以看到驱动已成功安装

01

Windows 进程创建通知回调通知例程的学习笔记

在 Windows 操作系统中可以通过 PsSetCreateProcessNotifyRoutine 函数注册或移除一个进程创建通知回调例程。在 Vista 以及之后的版本中，微软加入 PsSetCreateProcessNotifyRoutineEx 新的函数来注册创建进程通知。通过判断系统版本来对应不同的操作系统调用不同的注册函数。

01

vc编程实现sys文件的安装

#include <windows.h> #include <winsvc.h> #include <conio.h> #include <stdio.h> #define DRIVER_NAME "123467" #define DRIVER_PATH "..\\HelloDDK.sys" //装载NT驱动程序 BOOL LoadNTDriver(char* lpszDriverName,char* lpszDriverPath) { /************************ 加载

01

4.3 Windows驱动开发：监控进程与线程对象操作

在内核中，可以使用ObRegisterCallbacks这个内核回调函数来实现监控进程和线程对象操作。通过注册一个OB_CALLBACK_REGISTRATION回调结构体，可以指定所需的回调函数和回调的监控类型。这个回调结构体包含了回调函数和监控的对象类型，还有一个Altitude字段，用于指定回调函数的优先级。优先级越高的回调函数会先被调用，如果某个回调函数返回了一个非NULL值，后续的回调函数就不会被调用。

04

驱动开发：内核注册表增删改查

注册表是Windows中的一个重要的数据库，用于存储系统和应用程序的设置信息，注册表是一个巨大的树形结构，无论在应用层还是内核层操作注册表都有独立的API函数可以使用，而在内核中读写注册表则需要使用内核装用API函数，如下将依次介绍并封装一些案例，实现对注册表的创建，删除，更新，查询等操作。

05

4.3 Windows驱动开发：监控进程与线程对象操作

在内核中，可以使用ObRegisterCallbacks这个内核回调函数来实现监控进程和线程对象操作。通过注册一个OB_CALLBACK_REGISTRATION回调结构体，可以指定所需的回调函数和回调的监控类型。这个回调结构体包含了回调函数和监控的对象类型，还有一个Altitude字段，用于指定回调函数的优先级。优先级越高的回调函数会先被调用，如果某个回调函数返回了一个非NULL值，后续的回调函数就不会被调用。

04

4.3 Windows驱动开发：监控进程与线程对象操作

在内核中，可以使用ObRegisterCallbacks这个内核回调函数来实现监控进程和线程对象操作。通过注册一个OB_CALLBACK_REGISTRATION回调结构体，可以指定所需的回调函数和回调的监控类型。这个回调结构体包含了回调函数和监控的对象类型，还有一个Altitude字段，用于指定回调函数的优先级。优先级越高的回调函数会先被调用，如果某个回调函数返回了一个非NULL值，后续的回调函数就不会被调用。

05

4.3 Windows驱动开发：监控进程与线程对象操作

在内核中，可以使用ObRegisterCallbacks这个内核回调函数来实现监控进程和线程对象操作。通过注册一个OB_CALLBACK_REGISTRATION回调结构体，可以指定所需的回调函数和回调的监控类型。这个回调结构体包含了回调函数和监控的对象类型，还有一个Altitude字段，用于指定回调函数的优先级。优先级越高的回调函数会先被调用，如果某个回调函数返回了一个非NULL值，后续的回调函数就不会被调用。

02

内核第三讲,进入ring0,以及编写第一个内核驱动程序.

PS: 请下配置双机调试,下方有可能用到.如果不配置,则你可以不用调试, 博客连接: http://www.cnblogs.com/iBinary/p/8260969.html

03

Java总结：JDBC连接操作数据库(一)

Java Database Connectivity简称JDBC，属于Java核心API的一部分，是Java语言中用来规范客户端程序如何来访问数据库的应用程序接口。支持ANSI SQL-92标准，通过调用这些类和接口提供的成员方法，我们可以方便地连接各种不同的数据库，进而使用标准的SQL命令对数据库进行查询、插入、删除、更新等操作。

01

4.3 Windows驱动开发：监控进程与线程对象操作

在内核中，可以使用ObRegisterCallbacks这个内核回调函数来实现监控进程和线程对象操作。通过注册一个OB_CALLBACK_REGISTRATION回调结构体，可以指定所需的回调函数和回调的监控类型。这个回调结构体包含了回调函数和监控的对象类型，还有一个Altitude字段，用于指定回调函数的优先级。优先级越高的回调函数会先被调用，如果某个回调函数返回了一个非NULL值，后续的回调函数就不会被调用。

02

驱动开发：内核注册表增删改查

注册表是Windows中的一个重要的数据库，用于存储系统和应用程序的设置信息，注册表是一个巨大的树形结构，无论在应用层还是内核层操作注册表都有独立的API函数可以使用，而在内核中读写注册表则需要使用内核装用API函数，如下将依次介绍并封装一些案例，实现对注册表的创建，删除，更新，查询等操作。

03

驱动开发：文件微过滤驱动入门

MiniFilter 微过滤驱动是相对于SFilter传统过滤驱动而言的，传统文件过滤驱动相对来说较为复杂，且接口不清晰并不符合快速开发的需求，为了解决复杂的开发问题，微过滤驱动就此诞生，微过滤驱动在编写时更简单，多数IRP操作都由过滤管理器(FilterManager或Fltmgr)所接管，因为有了兼容层，所以在开发中不需要考虑底层IRP如何派发，更无需要考虑兼容性问题，用户只需要编写对应的回调函数处理请求即可，这极大的提高了文件过滤驱动的开发效率。

03

deviceiocontrol函数 usb_recursive函数

Q 在NT/2000/XP中，我想用VC编写应用程序访问硬件设备，如获取磁盘参数、读写绝对扇区数据、测试光驱实际速度等，该从哪里入手呢？

02

驱动开发：文件微过滤驱动入门

MiniFilter 微过滤驱动是相对于SFilter传统过滤驱动而言的，传统文件过滤驱动相对来说较为复杂，且接口不清晰并不符合快速开发的需求，为了解决复杂的开发问题，微过滤驱动就此诞生，微过滤驱动在编写时更简单，多数IRP操作都由过滤管理器(FilterManager或Fltmgr)所接管，因为有了兼容层，所以在开发中不需要考虑底层IRP如何派发，更无需要考虑兼容性问题，用户只需要编写对应的回调函数处理请求即可，这极大的提高了文件过滤驱动的开发效率。

05

前端学习(46)~事件简介

事件：就是文档或浏览器窗口中发生的一些特定的交互瞬间。对于 Web 应用来说，有下面这些代表性的事件：点击某个元素、将鼠标移动至某个元素上方、关闭弹窗等等。

02

红队技巧：绕过Sysmon检测

Sysmon和Windows事件日志都是防御者中极为强大的工具。它们非常灵活的配置使他们可以深入了解设备上的活动，从而使检测攻击者的过程变得更加容易。出于这个原因，我将带领您完成击败他们的旅程；）

02

6.3 Windows驱动开发：内核枚举IoTimer定时器

今天继续分享内核枚举系列知识，这次我们来学习如何通过代码的方式枚举内核IoTimer定时器，内核定时器其实就是在内核中实现的时钟，该定时器的枚举非常简单，因为在IoInitializeTimer初始化部分就可以找到IopTimerQueueHead地址，该变量内存储的就是定时器的链表头部。枚举IO定时器的案例并不多见，即便有也是无法使用过时的，此教程学到肯定就是赚到了。

01

基于网络启动和系统服务劫持的渗透技术研究

笔者受光盘启动WinPE系统修复主机原系统启发，设计并开展了以网络启动传输定制操作系统，实施自动化文件替换，劫持关键系统服务的渗透技术方案研究，实现了在内网环境下预置攻击程序的自主启动。

00

初窥卡巴斯基ARK读取MBR

LONG LONG LONG AGO就发现通过Hook磁盘端口驱动程序中的IRP_MJ_SCSI派遣函数方式过不了KB了，最近又遇到这个问题就想借此机会分析一下，看看万能的KB是如何绕过Hook读取MBR的。

06

Minfilter过滤框架

与传统的Sfilter过滤驱动相比，有这样几个优势 1. Minfilter加载顺序更易控制，Sfilter加载是随意的，也就是说它在IO设备栈上的顺序是根据其创建的顺序决定的，越晚创建的，越排在设备栈的顶部，而Minfilter根据它的一个全局变量——altitude规定了它在设备栈上的顺序 2. 具有可卸载能力，一般的hook或者过滤框架在卸载时可能仍然有程序在访问它们的代码，所以如果在有程序访问其代码，而它又被卸载时容易导致蓝屏，这样就不具备可卸载能力。而Minfilter则不会导致蓝屏 3. Minfilter是通过注册回调函数到Minfilter管理器中，由Minfilter管理器来负责调度这些函数，不直接与IO管理器接触，同时我们只需要注册我们感兴趣的回调函数，而不像Sfilter那样，需要提供一个统一的处理函数。所以相对来说更简单 4. 兼容性更好，由IO管理器下发的IRP 请求既可以交给Sfilter框架处理，也可以交给Minfilter处理，也可以给下层的设备驱动处理。 5. 名字处理处理更加容易，相对与Sfilter中需要另外顶一个一个NAME_CONTROL结构，还需要注意长短名来说，Minfilter更加简单，只需要一个简单的函数就可以获取文件的卷设备名称，文件全名，流名等信息

03

杀毒软件是如何发现病毒的？

一、杀毒软件引擎与病毒库的关系首先必须指出杀毒软件的引擎与其病毒库并没有什么直接的关系。杀毒引擎的任务和功能非常简单，就是对于给定的文件或者程序进程判断其是否是合法程序（对应于杀毒软件厂商自己定义的正常和非异常程序规范而言。正常的程序规范是指在程序所在系统平台上操所系统本身洗净有定义的或者业界已经公认的程序行为过程，比如操作系统正常运行就必须要求应用程序与系统核心进行进程响应并与交换相关数据。非异常程序活动是指可能存在非法程序操作结果但能够以较高的置信度确定其非非法程序活动规范的。一般情况下，相关文件的复

07

AddDevice 设备命名(3)

设备可能还有其它一些需要在AddDevice中初始化的对象。这些对象可能包括各种同步对象，各种队列头(queue anchors)，聚集/分散列表缓冲区，等等。事实上，在本书的其它地方讨论这些对象的初始化更合适。

03

驱动开发入门——NTModel

上一篇博文中主要说明了驱动开发中基本的数据类型，认识这些数据类型算是驱动开发中的入门吧，这次主要说明驱动开发中最基本的模型——NTModel。介绍这个模型首先要了解R3层是如何通过应用层API进入到内核，内核又是如何将信息返回给R3，另外会介绍R3是如何直接向R0层下命令。

02

64位内开发第二十一讲,内核下的驱动程序与驱动程序通讯

驱动调用驱动.其实就是两个内核内核驱动之间的通信. 比如应用程序和驱动程序通信就算为一种通信. 应用程序可以发送 IRP_MJ_READ 请求(ReadFile) 发送给 DrvierA程序. 然后DriverA进行相应的 IRP处理操作. 当然发送 IRP_MJ_READ请求的时候可以发送同步请求或者异步请求.这就看DriverA 如何处理这些请求了.是否支持异步.

01

反取证技术：内核模式下的进程隐蔽

介绍本文是介绍恶意软件的持久性及传播性技术这一系列的第一次迭代，这些技术中大部分是研究人员几年前发现并披露的，在此介绍的目的是建立这些技术和取证方面的知识框架。用于证明概念的代码可以在CERT的G

08

驱动开发：内核封装WSK网络通信接口

本章LyShark将带大家学习如何在内核中使用标准的Socket套接字通信接口，我们都知道Windows应用层下可直接调用WinSocket来实现网络通信，但在内核模式下应用层API接口无法使用，内核模式下有一套专有的WSK通信接口，我们对WSK进行封装，让其与应用层调用规范保持一致，并实现内核与内核直接通过Socket通信的案例。

03

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭