@写在前面      不同于x86,x64的DPC是被加密了的.对于x64DPC的兴趣始于我已经流产的scalpel计划.当时问某牛怎么遍历,得到的答案是“500大洋给代码”.真是R了狗了,好歹小哥我也是搞技术的,自己搞吧. PS:这个代码编辑功能...醉的不行了. @前言      在早期的x86系统上面,DPCTimer都是裸奔的,直接用过已导出的KiTimerTableListHead就可以遍历,网上的枚举资料也是一大把.但是等DPC被加密之后,突然就没有资料了(资料约等于拿来直接F7的代…

DCP是一种使用更加灵活的定时器,可以对任意间隔时间进行定时.DPC定时器的内部使用了一个定时器对象KTIMER,当你设定了定时器之后,从设定开始起经过这个时间之后操作系统会将一个DPC定时器的例程插入到DPC的队列,操作系统读取DPC队列的时候定时器例程就能够被执行.这里的DPC定时器例程就相当于一个定时器的回调函数. 在使用需要一些相关的初始化操作 1,初始化Timer VOID KeInitializeTimer(PKTIMER Timer); //参数Timer是定时器的指针 2,初始化…

KeInitializeTimer 初始化定时器 KeInitializeTimerEx 初始化定时器 KeSetTimer 开启定时器(只执行一次) KeSetTimerEx 开启定时器(可以设置循环) KeInitializeDpc 初始化DPC对象 KeCancelTimer 取消定时器 在驱动中是以100纳秒为单位的 1000纳秒=1微秒 1000微秒=1毫秒 1000毫秒=1秒 ** KTIMER my_timer;//注意要定义全局变量 KDPC KiTimerExpireDpc;/…

一般两种方法使用/设置定时器,一种是使用I/O定时器例程,一种是使用DPC例程.1.定时器的实现1)使用I/O定时器例程NTSTATUSIoInitializeTimer(IN PDEVICE_OBJECT DeviceObject,IN PIO_TIMER_ROUTINE TimerRoutine,IN PVOID Context);IoStartTimerIoStopTimer开启定时器后,每隔1s系统调用一次定时器例程.TimerRoutine运行在DISPATCH_LEVEL级别,因此不…

这个随笔是记录我半个月左右的时间,从想法到查资料请教,以及到实践的成果. 我想实现的是,隔定时时间写文件,本以为调用写的函数就可以实现了,结果各种BSOD,IRQL_NOT_LESS_OR_EQUAL,这个蓝屏提示,结果是函数的IRQL导致的,内核函数都有IRQL,我是想在DISPATCH_LEVEL中运行低级别的PASSIVE_LEVEL,因为写函数就是在PASSIVE_LEVEL上运行的.解决方法是,使用DPC,IoQueueWorkItem.下面的代码是我简单的测试了我的想法,给文件中只写…

I/O定时器 I/O定时器是DDK提供的一种定时器.它每个1s钟系统会调用一次I/O定时器例程.I/O定时器例程运行在DISPATCH_LEVEL级别,因此在这个例程中不能使用分页内存,否则会引起页故障从而导致系统崩溃.另外I/O定时器是运行在任一线程的,不一定是IRP发起的线程中,因此不能直接使用应用程序的内存地址. 初始化I/O定时器后,可以开启和停止I/O定时器.开启定时器后,每个1s系统调用一次定时器例程.在听指定是气候,系统就不会进入定时器例程.开启定时器的内核函数是IoStartTi…

在笔者上一篇文章<驱动开发:内核枚举IoTimer定时器>中我们通过IoInitializeTimer这个API函数为跳板,向下扫描特征码获取到了IopTimerQueueHead也就是IO定时器的队列头,本章学习的枚举DPC定时器依然使用特征码扫描,唯一不同的是在新版系统中DPC是被异或加密的,想要找到正确的地址,只是需要在找到DPC表头时进行解密操作即可. DPC定时器的作用: 在内核中可以使用DPC定时器设置任意定时任务,当到达某个节点时自动触发定时回调,定时器的内部使用KTIMER对象…

HOOKSSDT中加入了DPC之后 要取消DPC 首先找到DPCHookSSDT.sys的基地址和大小 通过枚举所有DPC的地址  将在范围之内的DPC定时器全部移除 枚举DPC: WinXP: 1.首先要得到KiTimerTableListHead 在WinXP中只需要通过查找8d就可以定位到KiTimerTableListHead BOOLEAN GetKiTimerTableListHeadInWinXP_X86(ULONG32* KiTimerTableListHead) { ULONG…

软件名称: 手工杀毒辅助软件(PC Hunter) 软件语言: 简体中文 授权方式: 免费软件 运行环境: Win 32位/64位 软件大小: 4.7MB 图片预览: 软件简介: PC Hunter是一款功能强大的Windows系统信息查看软件,同时也是一款强大的手工杀毒软件,用它不但可以查看各类系统信息,也可以揪出电脑中的潜伏的病毒木马 支持的系统: 32位的2000.XP.2003.Vista.2008.Win7.Win8.Win8.1操作系统 64位的Win7.Win8.Win8.1操作系…

软件名称: XueTr 0.45 (手工杀毒辅助工具)软件语言: 简体中文授权方式: 免费软件运行环境: Win7 / Vista / Win2003 / WinXP 软件大小: 3.3MB图片预览: 软件简介:一个强大的手工杀毒辅助工具,支持32位的2000.xp.2003.vista.2008和Win7操作系统. 目前实现如下功能:1.进程.线程.进程模块.进程窗口.进程内存.定时器.热键信息查看,杀进程.杀线程.卸载模块等功能2.内核驱动模块查看,支持内核驱动模块的内存拷贝3.SSDT.S…