Описание тега windows-kernel
Ядро Windows (также называемое ядром NT) предоставляет службы для приложений пользовательского режима и имеет модульную архитектуру, которая позволяет загружать драйверы ядра (либо драйверы реального оборудования, либо виртуальные драйверы).
1
ответ
Подпись драйвера режима ядра GoDaddy - системная ошибка 577
Я новичок в драйверах Windows и процедуре подписи, которая требуется для производственного использования. Я недавно купил сертификат подписи драйверов GoDaddy, и они гарантировали мне, что он должен работать для драйверов режима ядра, однако я не мо…
25 июл '15 в 10:25
0
ответов
Доступ запрещен при перечислении через модули процессов C++
Я пытаюсь перечислить через модули процесса, чтобы получить диапазон адресов памяти, в котором он работает. Эта функция прекрасно работает с другими процессами. Однако в конкретном процессе, который я намеревался проанализировать, я получаю код ошиб…
26 мар '18 в 13:41
4
ответа
Правда ли, что все адресное пространство системного пространства в linux не использует подкачку по требованию?
В настоящее время я изучаю Windows и обнаружил, что Windows использует два раздела памяти, которые они назвали выгружаемый пул и невыгружаемый пул в адресном пространстве системного пространства. Таким образом, только критические разделы окон хранят…
23 сен '13 в 07:12
1
ответ
Как получить адрес SSDT
Я пытаюсь написать программу на c, которая перечисляет адреса SSDT, поэтому, если какая-то функция подключена, я вижу другой адрес. Как я могу получить адрес SSDT? Я использовал WinDbg и перечислил с KeServiceDescriptorTable, теперь, как я получаю э…
27 апр '18 в 20:57
1
ответ
Функция FltReadFile для чтения файла размером более 1 КБ
Я использую функцию FltReadFile из WDK для чтения файлов. Я могу читать только 1 КБ файла. Как прочитать файл, имеющий более 1 КБ? Благодарю вас. offset.QuadPart = bytesRead = 0; status = FltReadFile( Instance, FileObject, &offset, length, buffe…
08 янв '13 в 09:31
1
ответ
Платформа фильтрации Windows - неразрешенные внешние символы
Я пишу драйвер ядра Windows Filtering Platform (WFP) и пытаюсь добавить некоторые выноски. Я использую некоторые FWPM_LAYER GUID, такие как FWPM_LAYER_OUTBOUND_TRANSPORT_V4 FWPM_LAYER_OUTBOUND_TRANSPORT_V6 FWPM_LAYER_ALE_AUTH_CONNECT_V4 FWPM_LAYER_A…
06 апр '18 в 12:58
1
ответ
Как убить системный поток дескриптором / объектом в ядре Windows
DriverEntry создает поток A. Поток создает поток B, C. A ждет окончания B и C. Я хочу принудительно прекратить C, если B только завершается. (Даже в обратном случае) Но я не смог найти способ убить поток с помощью Handle или Object. Есть ли способ?
04 июл '18 в 05:09
2
ответа
Уязвимость в драйвере Capcom: Bluescreens на физическом ПК, но не на виртуальной машине
Я изучаю античит-механизмы в компьютерных играх, используя популярный драйвер Capcom с уязвимостью. Вы можете передавать функции пользовательского режима драйверу Capcom через вызовы DeviceIoControl(), которые затем выполняются в контексте ядра. Теп…
01 авг '18 в 15:37
1
ответ
Возврат стека пользовательского режима потока во время функции обратного вызова минифильтра
Я пытаюсь отследить стек пользовательского режима потока во время функции обратного вызова минифильтра.Предполагая, что я нахожусь в том же контексте, что и вызывающий поток, получение адреса стека потока из его TEB/TIB и обработка адресов в этом ст…
31 мар '14 в 23:44
2
ответа
Как настроить защиту области памяти в режиме ядра под Windows 7
По сути, я ищу функцию, которая могла бы сделать для режима ядра, что VirtualProtect делает для пользовательского режима. Я выделяю память, используя логику, приведенную в следующем упрощенном коде. PMDL mdl = MmAllocatePagesForMdl ( LowAddress, Hig…
29 июл '16 в 23:22
1
ответ
WDM: определенное устройство FDO/PDO определяет, является ли это USB Root Hub
USBPcap подключается как верхний фильтр для всех корневых концентраторов. Это делается путем добавления записи Upper Filters для класса {36FC9E60-C465-11CF-8056-444553540000}. Затем в функции AddDevice я извлекаю PDO и получаю список идентификаторов…
06 май '13 в 17:13
1
ответ
Чтение файла на этапе предварительной очистки в отложенном рабочем элементе
Я пишу Windows Minifilter Driver, который должен прочитать весь файл (только файлы размером до определенного порога) на IRP_MJ_CLEANUP. Поскольку FltReadFile не может быть вызван из обратного вызова preop, я поставил работу в очередь и сделал ее там…
28 мар '16 в 12:35
1
ответ
Windows: различные способы завершения процесса из ядра
Есть один конкретный процесс, который я не могу завершить напрямую с помощью ZwTerminateProcess, потому что его драйвер регистрирует обратный вызов для указанной функции, чтобы защитить себя. Другие методы: Внедрение DLL и вызов ExitProcess Присоеди…
10 июн '16 в 14:47
1
ответ
Что означает имя объекта ядра Windows, начинающееся с \??\?
Я поддерживаю устаревшее приложение Windows с пользовательским пространством и компонентом ядра. Пользовательское пространство передает некоторые пути к файлам к драйверу устройства через ключи реестра. В настоящее время код находит полный путь к фа…
23 янв '13 в 14:46
1
ответ
Создать именованное устройство в win32
Я могу создать именованный канал в Windows через CreateNamedPipe, p = win32pipe.CreateNamedPipe(r'\\.\pipe\test_pipe', win32pipe.PIPE_ACCESS_DUPLEX, win32pipe.PIPE_TYPE_MESSAGE | win32pipe.PIPE_WAIT, 1, 65536, 65536,300,None) Это файловый объект, и,…
31 май '17 в 08:48
0
ответов
Передача пространства ядра из пользовательского пространства в Windows
Я нуб на земле ядра ОС. Недавно я изучал, как работает программа в стране ядра. Я знаю, что некоторые вызовы Windows API - это просто оболочка системного вызова для ядра. Наконец, он выполняет команду syscall / sysret / sysenter для входа в ядро я…
28 дек '16 в 09:29
1
ответ
Драйвер ядра Windows: ZwAllocateVirtualMemory, вызывающий прерывание потока
Я пытаюсь написать драйвер APC для инъекций DLL, я нашел этот пример и подумал, чтобы изменить его в соответствии с моими потребностями. Я использую PcreateProcessNotifyRoutineEx, чтобы получить ProcessId для конкретных приложений, на которые я наце…
30 май '18 в 17:50
1
ответ
Как превратить приложение в работающий код в режиме ядра?
У меня есть приложение C, которое определяет, когда на ноутбуке включается / выключается питание. Работает только когда я открываю этот.exe файл Есть ли способ заставить его работать в режиме ядра? Это означает, что я не хочу запускать.exe, а просто…
17 июн '12 в 07:16
1
ответ
Доступна ли запись памяти ядра с помощью системного вызова?
Я знаю, что системные вызовы используются для связи между уровнем использования и уровнем ядра Итак, это означает, что я могу записать память ядра с помощью системного вызова? например, write() используется для записи памяти ядра Но если то, что я д…
05 ноя '14 в 06:58
1
ответ
Совместное использование более чем буфера "4Go - PAGE_SIZE" из пространства ядра с пространством пользователя в драйвере ядра Windows
В настоящее время я играю с драйвером ядра Windows, чтобы лучше понять внутренности Windows. Как игрушечный проект, я написал драйвер ядра, роль которого заключается в распределении памяти, которая может быть распределена между процессами. Приложени…
29 янв '16 в 12:05