- 博客(52)
- 资源 (18)
- 问答 (2)
- 收藏
- 关注
RSS订阅原创 C++多重继承类内存布局
多重继承 内存布局1 继承的基类(带虚表的)有几个,派生类就有几张虚表2 内存布局按照继承顺序3 派生类新增的虚函数在第一个虚表里class Base0{public: int a0;};class Base1:public Base0{public: int a1; virtual void f1(){ }};class Base2{public: int a2; virtual void f2(){}};class
2021-02-24 14:06:21
510
转载 win10 enterprise
激活:1 管理员权限打开CMD.EXE2 接着输入以下命令:slmgr /ipk NPPR9-FWDCX-D2C8J-H872K-2YT43弹出窗口提示:“成功的安装了产品密钥”。3 继续输入以下命令:slmgr /skms zh.us.to弹出窗口提示:“密钥管理服务计算机名成功的设置为zh.us.to”。4 输入以下命令:slmgr
2017-02-10 16:51:06
689
转载 dell-xps13-system
1 参考文章 http://jingyan.baidu.com/article/b0b63dbf1d38f34a49307046.html
2017-02-10 16:48:58
334
原创 vs2017-install
1 命令行c:\vs2017>vs_Enterprise.exe --layout C:\vs2017 --add Microsoft.VisualStudio.Workload.Universal Microsoft.VisualStudio.Workload.NativeDesktop --lang en-US2 网址https://docs.microsoft.com/zh-
2017-02-10 16:47:36
1382
原创 DbgPrintEx KdPrintEx 如何输出信息
详细内容参看msdn: https://msdn.microsoft.com/en-us/library/ff551519%28v=vs.85%29.aspx
2016-06-06 11:26:53
3312
原创 msconfig bcdedit
Windows 10 Kernel Version 14352 MP (1 procs) Free x86 compatibleBuilt by: 14352.1002.x86fre.rs1_release.160522-1930Machine Name:Kernel base = 0x8206f000 PsLoadedModuleList = 0x8227ff78kd不起
2016-06-03 15:00:10
321
转载 define #
原文网址 http://wenda.so.com/q/1378194865067038?src=110 如果原文出处不正确 请作者联系我 修改 如果原文不允许引用或转载 请作者联系我撤下该文章表示L与x连接。以下来自网络:#define Conn(x,y) x##y#define ToChar(x) #@x#define ToString(x) #xx##y表示什么?表示
2016-06-01 14:25:26
287
转载 nmake chk一切正常 free会产生错误 error C2220: warning treated as error - no 'object' file generated
原文网址 http://blog.sina.com.cn/s/blog_7587e3630100u8qd.html如果那个不是原文 请看到的作者联系我 我修正下网上搜索而来,保存其实就是关掉编译选项的问题…网上提得最多的就是修改 WDKPATH\i386.inc文件中的MSC_WARNING_LEVEL=$(MSC_WARNING_LEVEL)$(COM
2016-05-23 10:27:20
736
转载 静态分析:IDA逆向代码段说明 text、idata、rdata、data
原文地址 http://hi.baidu.com/caibirdy1985/item/a275df1ae9fa87693e87ce42通常IDA对一个PE文件逆向出来的代码中,存在四个最基本的段text、idata、rdata、data,四个段为PE文件的结构中对应的段。一、text段:该段位程序代码段,在该段一开始就可以看到:.text:00401000 ;
2015-02-26 13:36:36
10537
原创 高手是有理由的
XU是一位不折不扣的高手,惜时,不啃午休,不啃将时间分配给别人。看上去有些孤独。 XU给我的感觉和SHA很像,一张看上去充满灵性的脸,一个知道自己需要什么生活的信念,以及每时每刻都知道,时间是自己的。 和SHA相处时,任何时候都是6:30起床,即便是周末。 总是看见XU,随身带着电脑以及一本编程书。一看就是高手,就专业。
2015-02-01 16:40:54
395
翻译 NTFSI 目录
最近准备读《NTFSI》这本书, 做点小记录。读之前引用清代学者王鸣盛《十七史商榷》中的一段话 "凡读书最切要者,目录之学,目录之明,方可读书;不明,终是乱读。"所以大致把目录翻译一下,至少告诉自己一个方向。 当然因为还没有涉及内容,翻译也许很草率。以后发现错了,及时更正吧。NTFSI 全称 Windows NT File System Internals
2015-01-28 19:55:21
556
原创 SEH 中的 __except
我们先看在MSDN2008版提供的一个例子...puts("hello");__try{ puts("in try"); __try{ puts("in try"); RAISE_AN_EXCEPTION(); }__finally{ puts("in finally"); }}__except( puts("in
2015-01-28 10:04:46
778
原创 IoCreateStreamFileObjectLite和IoCreateStreamFileObject
我们首先看见的差别在于 Routine Description, IoCreateStreamFileObjectLite比IoCreateStreamFileObjectEx多了一段描述This call(IoCreateStreamFileObjectLite) differs from IoCreateStreamFileObject in that it performs nohandle management and does not result in a call to the file
2015-01-21 10:20:45
1127
原创 FSRTL_COMMON_FCB_HEADER
我们可以看到 AllocateSize是在硬盘上实际申请的大小, FileSize 是呈现给用户的文件大小,ValidDataLength是FileSize下实际有效的长度。文件右击属性,会看见 大小 和 占用空间 。 大小对应的就是FileSize, 占用空间就是AllocateSize。
2015-01-20 11:39:52
1057
转载 我对CONTAINING_RECORD宏的详细解释
这应该是原文地址吧 《我对CONTAINING_RECORD宏的详细解释》 不是的话请作者指出 我进行修正宏CONTAINING_RECORD的用处其实还是相当大的, 而且很是方便, 它的主要作用是: 根据结构体中的某成员的地址来推算出该结构体整体的地址! 下面从一个简单的例子开始说起: 我们定义一个结构体, 同时类型化:typedef struct{
2015-01-11 09:52:51
489
转载 Windows对象 (Object) 结构
有一篇介绍 《Windows对象 (Object) 结构》的文章 因为有太多的转载信息 不知道真实的出处了。 原文作者看到的话给了连接 我直接链接过去。 Windows系统的各种资源以对象(Object)的形式来组织,例如File Object, Driver Object, Device Object等等,但实际上这些所谓的“对象”在系统的对象管理器(Object Manager
2015-01-09 17:46:19
2266
原创 由ObReferenceObject推导windows对象管理器
#define ObReferenceObject(Object) ObfReferenceObject(Object)LONG_PTRFASTCALLObfReferenceObject ( __in PVOID Object )/*++Routine Description: This function increments the referen
2015-01-09 16:55:34
763
原创 白话IoRegisterFsRegistrationChange
IoRegisterFsRegistrationChange()注册回调函数,监视文件系统的激活或者注销。 status = IoRegisterFsRegistrationChange( DriverObject, SfFsNotification );SfFsNotification 函数声明:VOIDSfFsNotification ( IN PDEVIC
2015-01-09 16:02:01
745
转载 坑爹的dsfksvcs.sys
今天也到这个问题 "下面文件丢失或损坏 systerm32/drivers/dsfksvcs.sys"在网上找到的解决方案 转载如下 安装WDK时要小心,千万不可安装那个Device Simulation Framework 又称DSF,当你选上它时,安装过程中系统会提示是否要确认安装DSF,并给出MS不建议安装它,若你继续安装,安装结束后重启系统,将会出现下面
2015-01-09 09:11:47
617
转载 IoDeleteDevice源码
老样子 我们先上WRK的源码 我还是喜欢从源码入手进行解读VOIDIoDeleteDevice( IN PDEVICE_OBJECT DeviceObject )/*++Routine Description: This routine deletes the specified device object from the system so that
2015-01-08 13:26:47
697
转载 驱动入门科普:从WRK理解IRP IRP Stack之实践篇
网上找到一篇 AntBean写的 《驱动入门科普:从WRK理解IRP IRP Stack之实践篇》特别好,所以摘抄下来。 我把原文截取的图片源码替换成文字源码。昨天通过WRK的代码对IRP和IRP Stack的概念作出了一个比较深的理解。但显然这样还不够。对程序员而言,没有比光说不练更坏的恶习了。这次,我们将通过一个文件过滤驱动来实现文件保护。恩,是的,我们想写一个文件
2015-01-07 19:32:20
723
转载 分层驱动模型中IRP的传递与完成
原文链接已经失败 为了保存下来 转载于此本文转自Hanke空间,原文地址:http://hi.baidu.com/hankebao/blog/item/7e8329804e0ce9d2bc3e1e2b.html---------在Windows分层驱动模型中,设备栈中的设备一般都是通过对上层传来的IRP做相应的处理来实现驱动的功能。这里对常用的几种IRP传递及完成的方式进行归纳和总
2015-01-07 16:19:53
486
原创 白话 StackCount StackSize CurrentLocation
先说结论 细节再补充 StackCount = StackSize StackCount 是 StackLocation的数目 StackSize 是 DeviceObjectStack的数目CurrentLocation 指的是 现在所处的StackLocation的位置由于申请IRP者本身不具有irp空间,所以申请时C
2015-01-07 13:46:04
794
转载 windows内核情景分析 --- DPC 目的信令点编码
关于DPC的 文章 留着备用原文地址 http://www.doudouxitong.com/guzhang/xitongjiqiao/2014/0404/901.html DPC不同APC,DPC的全名是‘延迟过程调用’。 DPC最初作用是设计为中断服务程序的一部分。因为每次触发中断,都会关中断,然后执行中断服务例程。由于关中断了,所以中断服务例程必须短小精悍,不
2015-01-07 10:17:23
818
转载 IopfCompleteRequest源码
不知道哪位大神的 正需要 转载在这里VOID FASTCALL IopfCompleteRequest( IN PIRP Irp, IN CCHAR PriorityBoost )
2015-01-06 15:40:10
1341
原创 白话STATUS_PENDING
我们经常看见这样一段驱动的代码:IoCopyCurrentIrpStackLocationToNext( Irp );IoSetCompletionRoutine( Irp, completionRoutine, &waitEvent, TRUE, TRUE,
2015-01-06 14:42:21
1838
转载 对内核函数IoCompleteRequest的分析
该文来自看雪 对内核函数IoCompleteRequest的分析 作 者:RYYMike 原文地址 http://bbs.pediy.com/showthread.php?t=109018今天是我的18周岁生日,突然就想发表篇文章,而前几天刚好在做IopfCompleteRequest的分析,所以今天就赶赶急,把分析做做完,发表出来。 我在网上认识的一个前辈说
2015-01-06 10:11:28
1255
1
转载 驱动入门科普:从WRK理解IRP IRP Stack之理论篇
在网上找到一篇 AntBean写的 《驱动入门科普:从WRK理解IRP IRP Stack之理论篇》特别好,所以摘抄下来。 写这篇文章的主要目的是整理一下自己最近的驱动学习,从读源码的角度解析驱动程序中极其重要的概念IRP和IRP Stack。暗合侯捷老师所言:源码之下,并无新事。对像我这种死脑筋的初学者,驱动编写教程上,如果要实现某功能就按这个格式的说法并不能让我满意,
2015-01-06 08:41:09
1136
原创 白话IoSetCompletionRoutine
IoCopyCurrentIrpStackLocationToNext IoSetCompletionRoutine IoCallDriver 这三个函数一般关联在一起,到底做了什么呢? 先看 IoCopyCurrentIrpStackLocationToNext FORCEINLINEVOIDIoCopyCurrentIrpStackLocation
2015-01-05 23:03:31
730
原创 白话IoSkipCurrentIrpStackLocation
我们在IRP的Passthrough例程中会这样处理放过的IRP IoSkipCurrentIrpStackLocation( Irp );return IoCallDriver( ...->AttachedToDeviceObject, Irp );那么这两个函数内在本质是什么呢?WDK的wdm.h 中有关于 IoSkipCurrentIrpS
2015-01-05 16:27:27
839
转载 Windows 文件过滤驱动经验总结
原文地址 http://www.dnjsb.com/xitong/win-xp/7930.html 1、获得文件全路径以及判断时机除在所有 IRP_MJ_XXX 之前自己从头创建 IRP 发送到下层设备查询全路径外,不要尝试在 IRP_MJ_CREATE 以外的地方获得全路径,因为只有在 IRP_MJ_CREATE中才会使用 ObCreateObject() 来建立一个有效的 FIL
2015-01-05 15:32:53
498
转载 stream file
引自http://www.leadbbs.com/a/a.asp?B=230&ID=1015570 “ 一个圆,你有可能说圆上某一点在什么位置吗?(不要说12小时方向类似的,在假设环境中圆的放置随意) 把圆切开拉成一条线段,我可以准确告诉你那点在什么位置 这就是应用上的区别 现在来说说本质 可以把文件看成一个池塘,在这
2015-01-05 14:48:30
624
转载 ETHREAD 结构
来源地址 http://blog.csdn.net/lyb12345/article/details/3165107每个线程都有一个 ETHREAD 结构。Win2k Build 2195 中 ETHREAD 结构定义如下kd> !strct ethread!strct ethreadstruct _ETHREAD (sizeof=584)+000 struct _
2015-01-04 15:42:02
1920
转载 Thread Local Storage(TLS)
所谓的线程本地存储(TLS),是指存储在线程环境块内的一个结构,用来存放该线程内独享的数据。进程内的线程不能访问不属于自己的TLS,这就保证了TLS内的数据在线程内是全局共享的,而对于线程外却是不可见的。http://kenchell.blog.163.com/blog/static/26088309201182335919649/ Instance(单件)机制原本是让代码
2015-01-04 15:29:35
421
原创 windows内核编程 白话设备栈
在ntddk.h中定义了该函数原型: #if (NTDDI_VERSION >= NTDDI_WINXP)NTKERNELAPINTSTATUSIoAttachDeviceToDeviceStackSafe( __in PDEVICE_OBJECT SourceDevice, __in PDEVICE_OBJECT TargetDevice,
2014-12-31 17:16:05
856
原创 sfliter__except_handler4
sfliter源码在vs08中编译 出现 错误error LNK2019: unresolved external symbol __except_handler4 referenced in function _SfEnumerateFileSystemVolumes@8解决方案project->property->C/C++->Code Generation->Buffer Security
2014-12-31 17:16:03
560
原创 MySQL5.5绿色版1067
mysql的绿色安装版,按照很多文章进行配置,会出现配置文件里面添加了[client]default-character-set=utf8[mysqld]default-character-set=utf8basedir = D:/mysql5.5.39CS3/datadir = D:/MySQLData/data每句话进行注释进行排错 定位在[mysqld]defau
2014-12-31 17:16:00
383
白话设备栈 windows内核
2014-12-31
如何用winhex在MFT表中添加记录被文件系统识别?
2015-05-26
TA创建的收藏夹 TA关注的收藏夹
TA关注的人