值得说明的是,win32开发是C语言编程,因此,搞明白数据类型还是非常重要的。Windows API因为历史原因或者为了方便在windows.h中将一些数据类型用typedef或者define宏重新进行定义。UINT表示C语言中的无符号整型unsigned intPSTR表示字符串指针char *WPARAM在16位时期的Windows中表示unsigned short int,而现在都是UINTLPARAM表示longWndProc函数的返回类型LRESULT实际上就是long入口函数WinMain被指定的WINAPI和WndProc被指定的C...
总览: IAT HOOKObject HookSsdt Hook源码内核知识及源码内核知识级源码一、IAT HOOK:因为上一篇博客对已经对IAT Hook基本流程及作用进行了介绍,希望能先学懂PE再来看IATHook.下面贴上Iathook的源码,源码中有详细的注释,还记着为什么不能结束360的进程吗?参考思路如下图(因为写代码的时候解决方案写到了源码中,不粘贴复制过来了):以下代码是DLL注入+iathook,通过测试procexp中的kill功能并没有使用OpenProcess函数,所以...
《Windows内核安全与驱动开发》阅读笔记 -- 索引目录 《Windows内核安全与驱动开发》 2.3 重要的数据结构 一、驱动对象 Windows内核采用__的编程方式。Windows内核认为许多东西都是__,比如一个驱动、一个设备、一个文件,甚至其他的一些东西。 与应用程序开发不同,Windows内核模块并不生成一个进程,只是填写一组__函数让Windows来调用,而这组__必须符合Windows内核规定。 Windows中很多组件都拥有自己的__,比如:所有的硬件驱...
数据结构是计算机程序的核心,I/O管理器定义了一些数据结构,这些数据结构是编写驱动程序时所必须掌握的。驱动程序经常要创建和维护这些数据结构的实例。 一、驱动对象(DRIVER_OBJECT) 每个驱动程序会有唯一的驱动对象与之对应,并且这个驱动对象是在驱动加载的时候,被内核中的对象管理程序所创建的。 驱动对象用DRIVER_OBJECT数据结构表示,它作为驱动的一个实例被内核加载,并且内核对一个驱动只加载一个实例。确切地说,是由...
总览:IAT HOOK Object Hook Ssdt Hook源码 内核知识及源码 内核知识级源码一、IAT HOOK:因为上一篇博客对已经对IAT Hook基本流程及作用进行了介绍,希望能先学懂PE再来看IATHook.下面贴上Iathook的源码,源码中有详细的注释,还记着为什么不能结束360的进程吗?参考思路如下图(因为写代码的时候解决方案写到了源码中,不粘贴复制过来了): 以下代码是DLL注入+iathook,通过测试procexp中的kill功能并没有使用OpenProcess函数,...
原文发表于百度空间,2008-7-24========================================================================== 这些是驱动中相关的数据结构. 驱动对象,由I/O管理器创建,用于管理设备(Device):lkd> dt _DRIVER_OBJECTntdll!_DRIVER_OBJECT +0x000 Type : Int2B +0x002 Size : Int2B +0x004 DeviceObject : Ptr32 _DEVICE_OBJECT //设备对象 +...