是否可以通过进程限制对命名管道的访问(图像名称或进程ID都可以)？此处的上下文是一个FilterMinidriver，它必须与执行大部分业务逻辑的用户空间服务进行通信。由于此通信是安全敏感的，我想保护它免受外部干扰，而默认情况下，驱动程序创建的命名管道似乎可以通过任何用户空间进程进行通信知道管道的名称(通过静态或动态分析很容易发现)。这是我已经知道的:管道是Windows中的安全对象，因此，它们具有安全描述符。这个安全描述符可以包含一个DACL，它应该限制对该对象的访问。我广泛搜索了条件ACE的文档和示例，我希望它们可以做我想做的事，但我没有找到任何相关内容。编辑:我接受了MSalte

在用户模式下，可以通过DeviceIoControl进行IOCTL调用功能。我可以在内核模式下使用什么来发出IOCTL调用？我必须在文件系统微过滤器驱动程序中使用它。背景我正在写一个filesystemminifilterdriver，并且我必须向存储设备发出IOCTL调用以找出它们的序列号和功能(可移动或不可移动)。 最佳答案 您可以使用FltDeviceIoControlFile或使用IoBuildDeviceIoControlRequest手动构建和发送IRP和IoCallDriver.

我知道自旋锁是由Windows中的hal.dll导出的，所以我对自旋锁的代码进行了逆向工程。结果如下。WindowsXP的反编译自旋锁。unsigned__int32__thiscallKfAcquireSpinLock(signed__int32*this){unsigned__int32result;//eax@1result=__readfsdword(36);__writefsdword(36,2u);while(_interlockedbittestandset(this,0)){while(*this&1)_mm_pause();}returnresult;}Windows

我在哪里可以找到内核中的free和malloc函数？我确实包含了stdlib.h，但是free和malloc函数不在stdlib.h中。我在哪里可以找到这些功能？谢谢! 最佳答案 看看ExAllocatePoolWithTag.在OSR有一些讨论，如果您正在进行Windows内核编程，这是一个很好的资源。安装WindowsDriverKit/DDK用于本地主机上的所有开发文件和文档。 关于windows-Windows内核中的free/malloc函数，我们在StackOverflow上

我使用“ntQuerySystemInformation”获取所有句柄信息，例如:NtQuerySystemInformation(SystemHandleInformation,pHandleInfor,ulSize,NULL);//SystemHandleInformation=16pHandleInfor的结构是:typedefstruct_SYSTEM_HANDLE_INFORMATION{ULONGProcessId;UCHARObjectTypeNumber;UCHARFlags;USHORTHandle;PVOIDObject;ACCESS_MASKGrantedAcce

我正在尝试启动内核，但遇到了问题在Windows启动菜单上获取它。我已经编写并构建了带有thisguide的小型测试内核,但我不知道该怎么做获取实际的PE文件以连接到启动菜单。我读了here和here您使用BCDedit将其添加到启动菜单，所以我试着这样做:bcdedit/create/d"TestBoot"/applicationbootsector//gavetheguid:{1c8a5e74-84ff-11e3-a4da-8050f0e41ed6}bcdedit/set{1c8a5e74-84ff-11e3-a4da-8050f0e41ed6}path\Users\Taylor\

我正在开发一个名为Npcap的Windows数据包捕获软件。并且它需要发送基于Windows内核的环回原始IP套接字。但是WskSocket->Dispatch->WskSendTo总是导致DRIVER_IRQL_NOT_LESS_OR_EQUALWin7SP1上的蓝屏。奇怪的是，我的代码不会在Win8、Win10等其他系统上触发此BSoD。它只发生在Win7。所以我什至怀疑这是Windows本身的错误还是只是我的错误？谢谢!重现步骤为:安装Npcap0.07r17使用默认选项安装Nmap7.20Beta5(不要安装随附的Npcap)在CMD中，运行nmap-v-O-6localhos

我会尽量简短但完整地描述:这是特定于Windows的。使用Windows驱动程序开发工具包(DDK)。我是第一次编写内核模式驱动程序(KMD)，之前没有任何内核模式经验。我目前正在使用DDK附带的“扫描仪”微型过滤器示例，并在其上进行扩展以进行练习。“扫描器”微型过滤器是通用“反病毒”类型扫描驱动程序的基本轮廓，它Hook文件创建/关闭并对关联文件进行操作以在批准/拒绝请求的操作之前扫描“坏词”。最终目标是在打开文件时用用户模式应用程序扫描文件，决定微型过滤器是否应该允许操作完成，而不会对正在尝试的进程或用户造成明显的减慢打开文件。当尝试保存时，我还想再次扫描整个文件，以决定是允许保存

阅读时this文章，我有疑问。我了解到，在传输小数据时，默认情况下会启用Nagle算法以合并小数据包。这导致在传输之前缓存一些数据。我相信Winsock内核缓冲区是缓存发生的地方。如果我错了，请纠正我。这是否意味着如果使用SO_SNDBUF选项将Winsock内核缓冲区设置为零，Nagle算法是否会被禁用？如果不是那么WINSOCK在哪里缓存小数据？ 最佳答案 您引用的知识库文章以这种方式给出了您的答案...Tooptimizeperformanceattheapplicationlayer,Winsockcopiesdatabuf

好的，我正在编写一个应用程序，旨在枚举给定进程中的线程，就像ProcessExplorer所做的那样。我很清楚这可能会在不同的Windows版本之间中断，因为它依赖于“非官方”API，例如NtQuerySystemInformation，我对此非常满意。我已经有了获取给定线程基地址的代码。我现在想把它变成类似于进程资源管理器所做的事情，即“ntdll.dll!EtwDeliverDataBlock+0x453”。我实际上不需要函数名称或偏移量，只需要模块名称。我该怎么做？ 最佳答案 如果您只需要模块名称，最简单的方法是使用EnumP