内核开发技巧与功能模块详解.pptxVIP

  • 2
  • 0
  • 约小于1千字
  • 约 27页
  • 2026-06-04 发布于北京
  • 举报

麦洛克菲内核开发实训;麦洛克菲;DriverEntry流程-SafeSystem.c;反inlineHOOK;枚举与恢复驱动的各个例程;强删文件;禁止驱动加载;禁止写文件;内核基于IRP的文件读写;InlineHook与SSDTHOOK;内核过滤驱动枚举;如何摘掉过滤驱动?;内核Reload;强杀进程;端口检测--Port.c

;隐藏进程检测;killvxk的驱动查进程:

1.nativeapi获得进程表a

2.通过activelist获得进程表b

3.通过pspCidTable获得进程表c

4.通过handletablelisthead获得进程表d

5.通过csrss的handletable用2种方法枚举获得进程表e和f

6.通过扫描当前进程的handletable获得进程表g

7.遍历表c的每一个进程的SessionProcessLinks获得进程表h

8.遍历表c的每一个进程Vm.WorkingSetExpansionLinks获得进程表i

9.通过Typelist分别取process和thread的表j和表k

10.通过表k得到进程表l

11.搜索内存中的threadobject和processobject得到进程表m

12.通过Wait/Dispatch得到进程表n

13.如果系统是Win2003以上遍历表c的每一个进程的MmProcessLinks得到表o

1

文档评论(0)

1亿VIP精品文档

相关文档