Вопросы по теме 'windows-kernel'
Параметры трассировки системного вызова ETW
Я извлекаю трассировки системных вызовов в Windows с помощью ETW с помощью команды "logman".
Затем я конвертирую файл в текст с помощью tracerpt и конвертирую адреса в символы с помощью windbg. Без проблем.
Моя проблема в том, что я получаю...
443 просмотров
schedule
13.11.2021
Как передать массив переменного размера из драйвера ядра Windows в процесс пользовательского режима?
Я изучаю программирование ядра Windows, и мне интересно, как передать массив байтов из драйвера ядра в приложение пользовательского режима, где драйвер ядра инициирует вызов?
Если бы я сделал это среди процессов пользовательского режима (скажем, от...
442 просмотров
schedule
27.02.2022
В функции есть ссылка на неразрешенный внешний символ _wcstok
#include <ntddk.h>
#include <string.h>
.....
PWCHAR tmpBuf = NULL, pwBuf = NULL;;
tmpBuf = ExallocatePoolWithTag(NonPagePool, (MAX_SIZE + 1) * sizeof(WCHAR), BUFFER_TAG);
pwBuf = ExAllocatePoolWithTag(NonPagedPool, (MAX_SIZE + 1) *...
853 просмотров
schedule
16.07.2022
Что означает имя объекта ядра Windows, начинающееся с \??\?
Я поддерживаю устаревшее приложение Windows с компонентом пользовательского пространства и ядра. Пространство пользователя передает некоторые пути к файлам драйверу устройства через разделы реестра.
В настоящее время код находит полный путь к...
830 просмотров
schedule
13.09.2022
Перехватывать вызовы сокетов процесса из драйвера ядра
Может ли кто-нибудь дать мне пример драйвера ядра, который может перехватывать вызовы сокетов процесса (отправлять, получать и т. д.) и перехватывать их с помощью моих собственных функций?
Спасибо!
1668 просмотров
schedule
19.06.2023
Каковы эти загадочные адреса в трассировках системных вызовов ядра Windows?
Я использую трассировку событий для Windows (ETW) для трассировки ядра системных вызовов в Windows Server 2008 R2.
Я бегу:
logman start "NT Kernel Logger" -p "Windows Kernel Trace" (process,thread,cswitch,syscall) -o events.etl -ets
В...
1167 просмотров
schedule
04.05.2023
Как получить адрес модулей ядра nt и win32k?
Мне нужно знать базовые адреса, по которым загружаются nt и win32k. Я могу узнать эту информацию, загрузив систему с включенной отладкой ядра, запустив сеанс отладки ядра и выполнив команду lm , чтобы получить список загруженных модулей.
Что я...
4325 просмотров
schedule
03.06.2023
Функция FltReadFile для чтения файлов размером более 1 кб
Я использую функцию FltReadFile из WDK для чтения файлов. Я могу прочитать только файл размером 1 КБ. Как прочитать файл размером более 1кб?? Благодарю вас.
offset.QuadPart = bytesRead = 0;
status = FltReadFile( Instance,...
685 просмотров
schedule
09.11.2022
Отладка ядра Windows с двумя хостами VirtualBox
Я использую Linux, и у меня есть две установки Windows 7 в VirtualBox.
Теперь я пытаюсь использовать первую машину для отладки второй.
Поэтому я настроил один и тот же хост-канал для двух машин,
В отладчике я запускаю windbg, ожидающий...
1803 просмотров
schedule
25.11.2022
Почему Windows обрабатывает полосы прокрутки в ядре?
Новый 1-битный эксплойт «всех» версий Windows использует ошибку в коде ядра, которая обрабатывает полосы прокрутки. Это заставило меня задуматься. Почему окна обрабатывают полосы прокрутки в ядре, а не в пользовательском режиме? Исторические...
3471 просмотров
schedule
26.07.2023
Отладка ядра Windows - недостатки, связанные с ее постоянной работой?
В гипотетическом мире, где желательно отключить 64-разрядную защиту ядра Windows от исправлений (которая отключается при работе в режиме отладки), есть ли какие-либо недостатки или последствия постоянной работы системы в режиме отладки?
В...
156 просмотров
schedule
18.05.2023
Как получить приоритет потока в ядре Windows?
Я пишу драйвер режима ядра и хочу получить приоритет потока / user-mode / (должно быть числом от 0 до 15). У меня есть ПЕТРЕД.
205 просмотров
schedule
01.12.2022
Почему ядра используют старший логический адрес
Для 32-битной ОС. Ядро Linux занимает старший логический адрес 3~4GB (и 2~4GB для Windows). Интересно, почему разработчик выбрал старший адрес вместо 0~1 ГБ для Linux, и поскольку ядро на самом деле имеет физический младший адрес, выбор низкого...
83 просмотров
schedule
12.03.2023
Ядро Windows: получение адресов функций внутри модулей
Я пытаюсь вызвать функцию ядра, расположенную в модуле win32kfull.sys. Я получил базовый адрес модуля с помощью ZwQuerySystemInformation. Теперь я хочу узнать смещение функции NtUserSendInput, расположенной в модуле win32kfull.sys. Когда я открываю...
457 просмотров
schedule
30.04.2023
Хотел получать уведомления, когда кто-то удаляет мой фильтр
У меня есть драйвер WFP, в котором я фильтрую сетевые события, добавляю фильтр с помощью FwpmFilterAdd, но кто-то/приложение может удалить мой фильтр с помощью FwpmFilterDeleteByKey0. Я хочу получать уведомления об удалении моего фильтра. Можно ли...
48 просмотров
schedule
18.09.2023
Почему NdisFSendNetBufferLists работает только при вызове из FilterSendNetBufferLists?
У меня есть драйвер фильтра NDIS (см. https://pastebin.com/c5r87NNw ) и пользовательское приложение.
Я хочу отправить произвольный пакет с моим драйвером фильтра (в функции SendData ). С помощью DbgPrint в функции FilterReceiveNetBufferLists я...
122 просмотров
schedule
21.08.2023
Драйвер пользовательского режима с NDIS
Платформа фильтрации Windows предоставляет API для разработки драйвера сетевого фильтра режима ядра и пользовательского режима. Можно ли разработать драйвер сетевого фильтра пользовательского режима на NDIS с помощью Windows API?
204 просмотров
schedule
25.02.2024
