目錄 一丶驅動是如何運行的 1.服務注冊驅動 二丶Ring3跟Ring0通訊的幾種方式 1.IOCTRL_CODE 控制代碼的幾種I ...

　　　　　　　　　　64位內核第一講,和32位內核的區別 雙擊調試配置請查看 連接: https://www.cnblogs.com/aliflycoris/p/5877323.html 一丶編譯的區別. 首先,還是使用WDK7.1.7600編寫. 但是編譯的時候,要使用x64來編譯 ...

一丶同步與互斥詳解,以及實現一個進程監視軟件. 1.用於線程同步的 KEVENT 事件很簡單分別分為 事件狀態. 以及事件類別. 事件狀態: 有信號 Signaled 無信號 Non-signaled 事件類別 自動恢復 Synchronization 自動設置 不自動恢復 ...

目錄 一丶驅動的調試. 1.線程 2.斷點 3.內存查看命令 4.修改內存命令 5.棧相關操作命令 6.進程線程命令(內核命令) 一丶驅動的調試. 編寫驅動免不了調試.所以這里介紹一下WinDbg ...

目錄 文件操作,以及強刪文件. 一丶文件操作 1.文件操作的幾種方式 1.2 文件的表示 二丶文件操作的常見內核API 三丶內核中三種定義結構體的方式 四丶驅動創建 ...

驅動框架介紹 1.應用程序3環到0環的框架 1.1 3環到0環的驅動框架. 首先是我們的3環API API -> 封裝數據跟命令 ->調用kerner32或者ntdll的函數 -& ...

目錄 反調試與反反調試 一丶反調試的幾種方法 1.DebugPort端口清零 2.KdDisableDebugger ...

一.純寫64位匯編時局部變量處理和參數寄存器保存位置 純寫64位匯編和用VS2013寫64位C代碼生成的匯編會有一些格式上的區別，VS2013寫64位C代碼生成的匯編中是沒用到棧基址寄存器rbp的，但是純寫匯編時只要申明了參數和使用了@LOCAL定義的局部變量，就會用到rbp ...