原文发表于百度空间,2008-7-24========================================================================== 这些是驱动中相关的数据结构． 驱动对象,由I/O管理器创建,用于管理设备(Device):lkd> dt _DRIVER_OBJECTntdll!_DRIVER_OBJECT   +0x000 Type             : Int2B                                   …

原文发表于百度空间,2008-7-24========================================================================== 线程是进程的实际存在,每个进程中至少会有一个线程．线程相关的数据结构比较多,一个一个看．首先是ETHREAD:lkd> dt _ETHREADnt!_ETHREAD   +0x000 Tcb              : _KTHREAD       //线程控制块   +0x1c0 CreateTime   …

原文发表于百度空间,2008-7-24========================================================================== 进程的相关结构非常重要,重点学习-有一些内容参考自:http://dev.csdn.net/article/20/20210.shtm 进程结构中,首推EPROCESS,标记一些重要成员(可能不全):lkd> dt _EPROCESSnt!_EPROCESS   +0x000 Pcb             …

原文发表于百度空间,2008-7-23 ========================================================================== 学内核从基本数据结构开始吧,就像学C语言时从学习int,char开始一样．只列出目前见到和用到的,其它后面再补充- 常用数据结构: 数字:lkd> dt _ULARGE_INTEGERntdll!_ULARGE_INTEGER   +0x000 LowPart          : Uint4B   +0x0…

原文发表于百度空间,2008-7-23========================================================================== 继续学习,继续补充... 事件:lkd> dt _KEVENTntdll!_KEVENT   +0x000 Header           : _DISPATCHER_HEADER 信号量:lkd> dt _KSEMAPHOREntdll!_KSEMAPHORE   +0x000 Header       …

原文发表于百度空间,2009-07-14========================================================================== 标准的驱动与ring3的通信过程是这样的:驱动中创建设备,并为设备创建符号链接,ring3用CreateFile打开符号链接得到设备句柄,然后DeviceIoControl发送ControlCodeDeviceIoControl的内容被封装成IRP到达Device,Device其所属Driver的对应派遣例程…

<Windows内核安全与驱动开发>阅读笔记 -- 索引目录 <Windows内核安全与驱动开发> 2.3 重要的数据结构 一.驱动对象  Windows内核采用__的编程方式.Windows内核认为许多东西都是__,比如一个驱动.一个设备.一个文件,甚至其他的一些东西. 与应用程序开发不同,Windows内核模块并不生成一个进程,只是填写一组__函数让Windows来调用,而这组__必须符合Windows内核规定. Windows中很多组件都拥有自己的__,比如:所有的硬件驱动程…

这篇是计算机中Windows Mobile/Symbian类的优质预售推荐<Windows内核安全与驱动开发>. 编辑推荐 本书适合计算机安全软件从业人员.计算机相关专业院校学生以及有一定C语言和操作系统基础知识的编程爱好者阅读. 内容简单介绍 本书的前身是<天书夜读--从汇编语言到Windows内核编程>和<寒江独钓--Windows内核安全编程>. 与Windowsclient安全软件开发相关的驱动程序开发是本书的主题. 书中的程序使用环境从32位到64位.从Win…

国内有关于windows内核驱动这块的书籍实在是甚少,不过好在<windows内核安全与驱动开发>这本书还算不错(内容方面),但是不得不说这本书在许多地方存在着一些细节上的问题.比如我今天要谈的这个话题. 在这本书的键盘过滤这个章节,作者对ObReferenceObjectByName个函数的用法做了介绍,并指明这是一个非文档化函数(可以用,但是在MSDN的文档中以及SDK的头文件中没有公开出来).这个函数的具体结构如下: NTSTATUS ObReferenceObjectByName( I…

<Windows内核安全与驱动开发>阅读笔记 -- 索引目录 一.内核上机指导 二.内核编程环境及其特殊性 2.1 内核编程的环境 2.2 数据类型 2.3 重要的数据结构 2.4 函数调用 2.5 Windows的驱动开发模型 2.6 WDK编程中的特殊点 三.字符串与链表 3.1 字符串操作 3.2 内存与链表 3.3 自旋锁 四.文件.注册表.线程 4.1 文件操作 4.2 注册表操作 4.3 时间与定时器 4.4 线程与事件 五.应用与内核通信 5.1 内核方面的编程 5.2 应用方面…