随笔-23  评论-73  文章-3  trackbacks-0
04 2008 档案
Rolling Your Own(译)      摘要: Rolling Your Own

  在这篇文章中我将描述如何自己构造IRP还有I/O管理器提供一些分配和管理IRPs的例程。

  经常听到NT驱动程序开发者问的问题是如何在他们自己所驱动中执行一个I/O操作。这个问题可以总结为以下两点:当仅可用到一个文件对象但是ZwXXX例程需要一个文件句柄时如何处理I/O;为什么ZwCreateFile返回的句柄不能用在他们的驱动中。实际的问题是如何在他们的驱动中处理I/O操作,典型的在多线程上下文中。

  阅读全文
posted @ 2008-04-23 09:38 ViskerWong 阅读(632) | 评论 (1)  编辑
Fport源码      摘要: 很多人都知道端口到进程映射的一个免费工具FoundStone的Fport,可惜他不提供源码,我试着能从其二进制文件中找出一些信息,大致知道他使用了些未公开函数 ,诸如: ZwOpenSection,ZwQuerySystemInformation... 但仅此之比较难弄懂其原理的。我的这个源码,得助于ilsy的名为《再谈进程与端口的映射》的文章 ,但他也没有提供源码,但已经将Fport的原理讲的很清楚了,在此我只是用源码将其实现了一下。在具体实现上与其有点不同,具体的原理可以参见ilsy的文章。  阅读全文
posted @ 2008-04-21 11:01 ViskerWong 阅读(416) | 评论 (0)  编辑
IP碎片重组过程分析(转)      摘要: 对IP碎片的重组是防火墙提高安全性的一个重要手段,通过提前进行碎片重组,可以有效防御各种碎片攻击,Linux内核的防火墙netfilter就自动对IP碎片包进行了重组,本文介绍Linux内核中的IP重组过程,内核代码版本2.4.26。  阅读全文
posted @ 2008-04-19 14:11 ViskerWong 阅读(855) | 评论 (0)  编辑
再谈进程与端口的映射      摘要: 关于进程与端口映射的文章已经有很多了,我把我对fport的分析也写出来,让大家知道fport是如何工作的.
fport.exe是由foundstone team出品的免费软件,可以列出系统中所有开放的端口都是由那些进程打开的.而下
面所描述的方法是基于fport v1.33的,如果和你机器上的fport有出入,请检查fport版本.
  阅读全文
posted @ 2008-04-19 14:09 ViskerWong 阅读(378) | 评论 (0)  编辑
内存映射文件 学习笔记      摘要: 内存映射文件有三种,第一种是可执行文件的映射,第二种是数据文件的映射,第三种是借助页面交换文件的内存映射.应用程序本身可以使用后两种内存映射.  阅读全文
posted @ 2008-04-19 13:08 ViskerWong 阅读(6768) | 评论 (5)  编辑
得到物理磁盘序列号      摘要: 得到硬盘物理序列号,写的是一个库文件,仿应用层的diskid32
这段代码是内核的
  阅读全文
posted @ 2008-04-19 13:05 ViskerWong 阅读(1352) | 评论 (2)  编辑
AES算法接口      摘要: /*-------------------------------------

SetKey函数提供设置加密长度还有密钥功能
Encrypt函数实现文件加密
Decrypt函数实现文件解密



-------------------------------------*/
  阅读全文
posted @ 2008-04-19 13:02 ViskerWong 阅读(1946) | 评论 (0)  编辑
遍历进程名和上下文      摘要: NOTE:使用硬编码,仅适用于WinXp sp2......  阅读全文
posted @ 2008-04-19 12:59 ViskerWong 阅读(974) | 评论 (0)  编辑