KPROCESS IDT PEB Ldr 《寒江独钓》内核学习笔记(3)
继续上一篇(2)未完成的研究,我们接下来学习 KPROCESS这个数据结构。 1. 相关阅读材料 《深入理解计算机系统(原书第2版)》 二. KPROCESS KPROCESS,也叫内核进程块。我们在开始学习它的数据机构之前,首先要思考的一个问题是,它和EPROCESS ...
原文:IRP IO_STACK_LOCATION 《寒江独钓》内核学习笔记(1)
在学习内核过滤驱动的过程中,遇到了大量的涉及IRP操作的代码,这里有必要对IRP的数据结构和与之相关的API函数做一下笔记。 . 相关阅读资料 深入解析 windows 操作系统 第 版,中文版 章 windows driver kit 帮助文档 http: support.microsoft.com kb zh cn IRP 结构中各地址字段的含义 http: www.programlife.n ...
2013-11-30 15:40 2 4696 推荐指数:
相关推荐
ETHREAD APC 《寒江独钓》内核学习笔记(4)
继续学习windows 中和线程有关系的数据结构: ETHREAD、KTHREAD、TEB 1. 相关阅读材料 《windows 内核原理与实现》 --- 潘爱民 2. 数据结构分析 一. ETHREAD ETHREAD(执行体线程块 ...
EPROCESS 进程/线程优先级 句柄表 GDT LDT 页表 《寒江独钓》内核学习笔记(2)
在学习笔记(1)中,我们学习了IRP的数据结构的相关知识,接下来我们继续来学习内核中很重要的另一批数据结构: EPROCESS/KPROCESS/PEB。把它们放到一起是因为这三个数据结构及其外延和windows中进程的表示关系密切,我们在做进程隐藏和进程枚举的时候一定会涉及到这3类数据结构 ...
KTHREAD 线程调度 SDT TEB SEH shellcode中DLL模块机制动态获取 《寒江独钓》内核学习笔记(5)
目录 2. 数据结构分析 二. KTHREAD KTHREAD(内核层线程对象)。再次重复说明一点: 之所以多次提到这一点是因为我发现在研究一项技术或者一个机制、数据结构之前,如果脑袋中能建立起对这个事物的功能上的深刻认识,知道这个技术将用在哪里,将实现 ...
发生系统错误 1275.此驱动程序被阻止加载 寒江孤钓<内核安全编程>> 学习笔记
安装书中第一章成功安装first服务之后,在cmd窗口使用命令行 "net start first" 时, 出现 "发生系统错误 1275.此驱动程序被阻止加载" 后来多方查找,发现问题 WIN ...
STL学习笔记-- stack
stack堆栈容器 堆栈是一个线性表,插入和删除只在表的一端进行。这一端称为栈顶(Stack Top),另一端则为栈底(Stack Bottom)。堆栈的元素插入称为入栈,元素的删除称为出栈。由于元素的入栈和出栈总在栈顶进行,因此,堆栈是一个后进先出(Last In First Out ...
Docker Stack 学习笔记
该文为《深入浅出Docker》的学习笔记,感谢查看,如有错误,欢迎指正 一、简介 Docker Stack 是为了解决大规模场景下的多服务部署和管理,提供了期望状态,滚动升级,简单易用,扩缩容,健康检查等特性,并且都封装在一个声明式模型当中。 Docker Stack 部署应用 ...
AngularJs学习笔记--Using $location
原版地址:http://code.angularjs.org/1.0.2/docs/guide/dev_guide.services.$location 一、What does it do? $location服务分析浏览器地址栏中的URL ...