人们能否就我需要研究的主题给我一些建议(没有双关语意)以便能够做到这一点?我不是真正的Windows专家,但我能很快掌握新概念。我看到了MarkRussinovich和BryceCogswell写的进程监控程序:http://technet.microsoft.com/en-gb/sysinternals/bb896645它可以查看内核中注册表键值发生的所有事情。过去,我已经能够使用C#和用户级注册表访问来执行此类操作,但我无法使用从codeproject获得的包装器套件访问内核。人们可以帮助我了解我应该从哪里开始吗?我想我是在寻求更多有关Windows/OS方面的帮助。这样做的原因:
我已经能够成功地使用logman来转储一些内核跟踪。但是,我希望能够以编程方式在我的应用程序中启用内核事件的实时消耗(主要是线程/进程创建/删除和文件I/O)。完成此任务的最佳方法是什么? 最佳答案 您在StartTrace中启用内核事件.在EVENT_TRACE_PROPERTIES您传递给StartTrace,EnableFlags包含不同内核事件提供程序的各种标志。将EVENT_TRACE_PROPERTIES中的LogFileMode设置为EVENT_TRACE_REAL_TIME_MODE成为实时消费者。然后您可以使用Pr
我在哪里可以找到内核中的free和malloc函数?我确实包含了stdlib.h,但是free和malloc函数不在stdlib.h中。我在哪里可以找到这些功能?谢谢! 最佳答案 看看ExAllocatePoolWithTag.在OSR有一些讨论,如果您正在进行Windows内核编程,这是一个很好的资源。安装WindowsDriverKit/DDK用于本地主机上的所有开发文件和文档。 关于windows-Windows内核中的free/malloc函数,我们在StackOverflow上
我正在尝试启动内核,但遇到了问题在Windows启动菜单上获取它。我已经编写并构建了带有thisguide的小型测试内核,但我不知道该怎么做获取实际的PE文件以连接到启动菜单。我读了here和here您使用BCDedit将其添加到启动菜单,所以我试着这样做:bcdedit/create/d"TestBoot"/applicationbootsector//gavetheguid:{1c8a5e74-84ff-11e3-a4da-8050f0e41ed6}bcdedit/set{1c8a5e74-84ff-11e3-a4da-8050f0e41ed6}path\Users\Taylor\
这个问题在这里已经有了答案:HowtogetnumberofcoresinWin32?(5个答案)关闭7年前。我知道std::thread::hardware_concurrency()的存在,但它返回虚拟内核的数量。当它以物理内核数为目标时,该算法可以发挥最佳效果(好5-10%)。我如何在Windows上用C++获取该数字?
我有一个使用WDK8.1示例的扫描仪文件系统微型过滤器驱动程序。我想知道我是否可以将整个文件发送到用户端应用程序,这样我就可以进行更复杂的计算,例如MD5哈希或其他任何东西,这样我就不必在mini中编写更复杂的操作过滤器驱动程序,而不是在用户应用程序中,我不介意引入windows.h并且我可以在堆上分配内存而不是使用ExAllocatePoolWithTag和类似的东西。我可以在一次通知中将整个文件传递到用户空间模式吗?如果不是,我将如何进行分块和同步。这是8.1扫描仪文件系统微型过滤器驱动程序示例的接口(interface),它指示微型过滤器驱动程序与用户端应用程序之间的通信:/*+
所以,我想以管理员模式(UAC)运行一个程序经过一些挖掘我发现了这个:importosimporttypesfromtracebackimportprint_excfromsysimportargv,executabledefisUserAdmin():ifos.name=='nt':importctypes#WARNING:requiresWindowsXPSP2orhigher!try:returnctypes.windll.shell32.IsUserAnAdmin()except:print_exc()print"Admincheckfailed,assumingnotanad
我在一个小型的antirootkit中工作,我需要添加一个功能:删除rootkit目录和您可能的子目录中的所有文件。那么,首先有必要知道所有这些目录和文件,对吧?为此,我下面的代码已经完成了这项任务的一半。他枚举了特定目录的所有目录和文件,但不“查看”子目录(文件和文件夹)。例如:输出:代码:#includetypedefunsignedintUINT;NTSTATUSEnumFilesInDir(){HANDLEhFile=NULL;UNICODE_STRINGszFileName={0};OBJECT_ATTRIBUTESOa={0};NTSTATUSntStatus=0;IO_S
我会尽量简短但完整地描述:这是特定于Windows的。使用Windows驱动程序开发工具包(DDK)。我是第一次编写内核模式驱动程序(KMD),之前没有任何内核模式经验。我目前正在使用DDK附带的“扫描仪”微型过滤器示例,并在其上进行扩展以进行练习。“扫描器”微型过滤器是通用“反病毒”类型扫描驱动程序的基本轮廓,它Hook文件创建/关闭并对关联文件进行操作以在批准/拒绝请求的操作之前扫描“坏词”。最终目标是在打开文件时用用户模式应用程序扫描文件,决定微型过滤器是否应该允许操作完成,而不会对正在尝试的进程或用户造成明显的减慢打开文件。当尝试保存时,我还想再次扫描整个文件,以决定是允许保存
之前从未开发过任何驱动程序。无论如何,我现在正在编写2个简单的Windows内核模式驱动程序,这2个驱动程序将安装到2个不同的设备上,这些设备连接到2个不同的总线(ISA总线/PCI总线),并且这2个驱动程序需要以某种方式与还期望彼此和数据交换,有什么有效的方法可以实现吗?内核事件可能可以启用同步,但数据交换如何?在用户模式下,管道/套接字可能是一个选项,但在内核模式下,是否有命名管道或其他东西的对应物?谷歌表示没有用于内核模式管道使用的记录API...我对Windows驱动程序框架不是很熟悉,希望我说得有道理..谢谢! 最佳答案
