服务程序可以作为自启动的一种,其往往位于后台运行,没有任何交互。系统服务程序运行在Session 0上,由于Session 0隔离,所以系统服务与桌面进程之间不能进行交互。各个会话之间是相互独立的,在不同会话中运行的实例,相互之间不能发送Windows消息,共享UI元素,或者是在没有指定有权限访问全局名字空间的情况下共享 ...
一、前言 在WFP之前,由于网络数据包处理比较复杂,诸如:NDIS Filter、TDI、Windows LSP,所以在Vista之后,微软开发一种框架,称之为WFP(Windows过滤平台),其将NDIS、TDI等诸多细节隐藏了起来,用一系列WFP相关的内核API进行分装,使得开发人员可以更加方便地编写网络数据包过滤驱动。WFP可用来开发防 ...
一、前言 由于sFilter过于复杂,微软于是对其进行了简化封装,并提供了接口进行驱动的编写。MiniFilter是由过滤管理器与过滤驱动组成的,其中过滤驱动还有着altitude(inf文件中定义),也就是高度,高度值越大,其位于设备栈中的位置越靠前,并且其决定了过滤驱动在设备栈中的位置,所以如下图,驱动a比驱动b ...
一、简介 IRP是在设备栈上进行传递的,由高层传递给底层,而每一层的设备都会对应一个IO_STACK_LOCATION类型的IO堆栈用来记录IRP到达本层设备时所作的操作。而当IRP被某一层设备完成时,IO堆栈会一层一层地弹出,这称之为设备栈的回卷。 我们现在看见了,IRP在传递的时候,会经过好几层的设备,每一 ...
假设我们现在有一个DriverA,我们要编写一个DriverB来对DriverA进行调用。 那么有下列几种方法: 一.同步调用 1.在DriverB中调用ZwReadFile读取DriverA的设备对象,ZwReadFile会创建IRP_MJ_READ,随后将此IRP发送给DriverA。 2.DriverA在收到IRP_MJ_READ后,调用Read类型的派遣函数,函数内部将IR ...
这几天在阅读周岭的两本书,其中《认知觉醒》已经读完,现在正在阅读《认知驱动》。很幸运能碰到这样的两本书并能读完认知觉醒,也很幸运地觉知了阅读是如此的重要。当下所遇到的问题都能够在书中找到解释,比如自控力不足这个问题,书中的解释就是自控力不足其实就是我们的天性,每次在做事情的时候遇到问题就 ...
1.简介 此漏洞并不是很难,主要是afd.sys这个驱动文件存在任意地址写入漏洞,利用这个漏洞再结合高版本Windows系统所特有的IoRing就能达到提权的目的。 2.环境搭建 镜像:Windows 11 22H2 下载地址:ed2k://|file|zh-cn_windows_11_consumer_editions_version_22h2_updated_nov_2022_x64_dvd_2c7 ...
用户名:
密 码:
记住我
