04 2008 檔案
Rolling Your Own(譯)
摘要: Rolling Your Own
在這篇文章中我將描述如何自己構造IRP還有I/O管理器提供一些分配和管理IRPs的例程。
經常聽到NT驅動程序開發者問的問題是如何在他們自己所驅動中執行一個I/O操作。這個問題可以總結為以下兩點:當僅可用到一個文件對象但是ZwXXX例程需要一個文件句柄時如何處理I/O;為什么ZwCreateFile返回的句柄不能用在他們的驅動中。實際的問題是如何在他們的驅動中處理I/O操作,典型的在多線程上下文中。
閱讀全文
posted @
2008-04-23 09:38 ViskerWong 閱讀(641) |
評論 (1) 編輯
Fport源碼
摘要: 很多人都知道端口到進程映射的一個免費工具FoundStone的Fport,可惜他不提供源碼,我試著能從其二進制文件中找出一些信息,大致知道他使用了些未公開函數 ,諸如: ZwOpenSection,ZwQuerySystemInformation... 但僅此之比較難弄懂其原理的。我的這個源碼,得助于ilsy的名為《再談進程與端口的映射》的文章 ,但他也沒有提供源碼,但已經將Fport的原理講的很清楚了,在此我只是用源碼將其實現了一下。在具體實現上與其有點不同,具體的原理可以參見ilsy的文章。
閱讀全文
posted @
2008-04-21 11:01 ViskerWong 閱讀(430) |
評論 (0) 編輯
IP碎片重組過程分析(轉)
摘要: 對IP碎片的重組是防火墻提高安全性的一個重要手段,通過提前進行碎片重組,可以有效防御各種碎片攻擊,Linux內核的防火墻netfilter就自動對IP碎片包進行了重組,本文介紹Linux內核中的IP重組過程,內核代碼版本2.4.26。
閱讀全文
posted @
2008-04-19 14:11 ViskerWong 閱讀(906) |
評論 (0) 編輯
再談進程與端口的映射
摘要: 關于進程與端口映射的文章已經有很多了,我把我對fport的分析也寫出來,讓大家知道fport是如何工作的.
fport.exe是由foundstone team出品的免費軟件,可以列出系統中所有開放的端口都是由那些進程打開的.而下
面所描述的方法是基于fport v1.33的,如果和你機器上的fport有出入,請檢查fport版本.
閱讀全文
posted @
2008-04-19 14:09 ViskerWong 閱讀(386) |
評論 (0) 編輯
內存映射文件 學習筆記
摘要: 內存映射文件有三種,第一種是可執行文件的映射,第二種是數據文件的映射,第三種是借助頁面交換文件的內存映射.應用程序本身可以使用后兩種內存映射.
閱讀全文
posted @
2008-04-19 13:08 ViskerWong 閱讀(6788) |
評論 (5) 編輯
得到物理磁盤序列號
摘要: 得到硬盤物理序列號,寫的是一個庫文件,仿應用層的diskid32
這段代碼是內核的
閱讀全文
posted @
2008-04-19 13:05 ViskerWong 閱讀(1387) |
評論 (2) 編輯
AES算法接口
摘要: /*-------------------------------------
SetKey函數提供設置加密長度還有密鑰功能
Encrypt函數實現文件加密
Decrypt函數實現文件解密
-------------------------------------*/
閱讀全文
posted @
2008-04-19 13:02 ViskerWong 閱讀(1956) |
評論 (0) 編輯
遍歷進程名和上下文
摘要: NOTE:使用硬編碼,僅適用于WinXp sp2......
閱讀全文
posted @
2008-04-19 12:59 ViskerWong 閱讀(978) |
評論 (0) 編輯