IThurricane的专栏

我是在在苏大米大牛和ChiChou大牛的的基础上修改的， 原来的版本支持到WDK6和VS2005， 我加了vs2008/WDK7的对应， 并且增加了SeLoadDriverPrivilege提权的操作，否则驱动load不上来， 还有注册表操作的那一块感觉有点乱，稍微整理了一下。

NDIS IM防火墙安装文件和源代码,是学习NDIS中间层过滤最好的参考代码-NDIS IM firewall

键盘Logger是Hook 键盘类驱动Kbdclass的分发函数，在类驱动的下面是端口驱动。用DeviceTree 可以看到PS/2键盘的端口驱动是i8042prt,USB键盘的端口驱动是Kbdhid。无论是PS/2 键盘还是USB键盘，在端口驱动处理完IRP之后都会调用上层处理的回调函数，即KbdClass 处理输入数据的函数。Hook 这个回调函数，不但可以实现兼容PS/2 键盘和USB 键盘的Logger,而且比分层驱动的方法更加隐蔽。 Kbdclass的这个回调函数是未导出的，不过在DDK的代码中，我们可以找到这个函数，即kbdclass.c中的 KeyboardClassServiceCallback函数。在内核中寻找这个函数可以用特征码搜索，不过楚狂人提出一种改进的方法。我们用这个方法来实现。

注册表隐藏就是将系统呈现给用户的注册表信息进行修改，使得用户或检测工具无法直观地发现事实上存在的注册表内容。

passthruEx与上下层的绑定过程 与应用层的通信，重点描述了IRP_MJ_WRITE的处理 数据过滤（防火墙）基本框架 IMD数据收发流程

驱动部分是C语言写的, 界面部分是用delphi写的 是很好的安全内核学习代码