3.内核APC执行过程说明未文档化但是导出，所以需要提前声明具体看下面的代码中的struct.hKeInitializeApc参数//初始化apc函数VOIDKeInitializeApc( __outPRKAPCApc,//使用`PKAPCpKapc`初始化 __inPRKTHREADThread,//内核中填当前线程即可 __inKAPC_ENVIRONMENTEnv

re|win11+windbg接收不到内核调试DbgPrint解决网上都是改注册表或者用工具，这不是纯脱裤子放屁吗？怎么可能不让你接收到呢？还有个CSDN的修改注册表还抄的别人的，真可笑。人微软都说了怎么弄了：https://learn.microsoft.com/zh-cn/windows-hardware/drivers/debugger/reading-and

在Windows操作系统内核中，PspCidTable通常是与进程（Process）管理相关的数据结构之一。它与进程的标识和管理有关，每个进程都有一个唯一的标识符，称为进程ID（PID）。与之相关的是客户端ID，它是一个结构，其中包含唯一标识进程的信息。这样的标识符在进程管理、线程管理和内核对象的创建等

在Windows内核中，每个设备驱动程序都需要一个DRIVER_OBJECT对象，该对象由系统创建并传递给驱动程序的DriverEntry函数。驱动程序使用此对象来注册与设备对象和其他系统对象的交互，并在操作系统需要与驱动程序进行交互时使用此对象。DRIVER_OBJECT对象还包含了与驱动程序所管理的设备

本章将继续探索驱动开发中的基础部分，定时器在内核中同样很常用，在内核中定时器可以使用两种，即IO定时器，以及DPC定时器，一般来说IO定时器是DDK中提供的一种，该定时器可以为间隔为N秒做定时，但如果要实现毫秒级别间隔，微秒级别间隔，就需要用到DPC定时器，如果是秒级定时其两者基本上无任何差

在上一篇文章《内核字符串转换方法》中简单介绍了内核是如何使用字符串以及字符串之间的转换方法，本章将继续探索字符串的拷贝与比较，与应用层不同内核字符串拷贝与比较也需要使用内核专用的API函数，字符串的拷贝往往伴随有内核内存分配，我们将首先简单介绍内核如何分配堆空间，然后再以

在Windows内核中，为了实现高效的数据结构操作，通常会使用链表和结构体相结合的方式进行数据存储和操作。内核提供了一个专门用于链表操作的数据结构LIST_ENTRY，可以用来描述一个链表中的每一个节点。使用链表来存储结构体时，需要在结构体中嵌入一个LIST_ENTRY类型的成员变量，用来连接

1.背景  KdMapper是一个利用intel的驱动漏洞可以无痕的加载未经签名的驱动，本文是利用其它漏洞（参考《【转载】利用签名驱动漏洞加载未签名驱动》）做相应的修改以实现类似功能。需要大家对KdMapper的代码有一定了解。 2.驱动信息 驱动名称EneIo64.sys 时间戳5AB087

让我们继续在《内核读写内存浮点数》的基础之上做一个简单的延申，如何实现多级偏移读写，其实很简单，读写函数无需改变，只是在读写之前提前做好计算工作，以此来得到一个内存偏移值，并通过调用内存写入原函数实现写出数据的目的。以读取偏移内存为例，如下代码同样来源于本人的LyMemory读写

远程线程注入是最常用的一种注入技术，在应用层注入是通过CreateRemoteThread这个函数实现的，该函数通过创建线程并调用LoadLibrary动态载入指定的DLL来实现注入，而在内核层同样存在一个类似的内核函数RtlCreateUserThread，但需要注意的是此函数未被公开，RtlCreateUserThread其实是对N

当今操作系统普遍采用64位架构，CPU最大寻址能力虽然达到了64位，但其实仅仅只是用到了48位进行寻址，其内存管理采用了9-9-9-9-12的分页模式，9-9-9-9-12分页表示物理地址拥有四级页表，微软将这四级依次命名为PXE、PPE、PDE、PTE这四项。关于内存管理和分页模式，不同的操作系统和体系结构

本章将继续探索驱动开发中的基础部分，定时器在内核中同样很常用，在内核中定时器可以使用两种，即IO定时器，以及DPC定时器，一般来说IO定时器是DDK中提供的一种，该定时器可以为间隔为N秒做定时，但如果要实现毫秒级别间隔，微秒级别间隔，就需要用到DPC定时器，如果是秒级定时其两者基本上无任何差

本章将继续探索驱动开发中的基础部分，定时器在内核中同样很常用，在内核中定时器可以使用两种，即IO定时器，以及DPC定时器，一般来说IO定时器是DDK中提供的一种，该定时器可以为间隔为N秒做定时，但如果要实现毫秒级别间隔，微秒级别间隔，就需要用到DPC定时器，如果是秒级定时其两者基本上无任何差异

2.HEVD栈溢出漏洞训练2.1漏洞原理​ 当函数退出的时候，会将保存在栈中的返回地址取出，跳转到该地址继续执行，以此来执行函数调用以后的程序。而如果用户的输入没有得到控

在内核编程中字符串有两种格式ANSI_STRING与UNICODE_STRING，这两种格式是微软推出的安全版本的字符串结构体，也是微软推荐使用的格式，通常情况下ANSI_STRING代表的类型是char

windows内核api就是ntoskrnl.exe导出的函数。我们可以跟调用应用层的api一样，调用内核api。不过内核api需要注意的是，如果函数导出了，并且函数文档化（也就是可以直接在msdn上搜

在上一篇文章`《驱动开发：内核字符串转换方法》`中简单介绍了内核是如何使用字符串以及字符串之间的转换方法，本章将继续探索字符串的拷贝与比较，与应用层不

在内核编程中字符串有两种格式`ANSI_STRING`与`UNICODE_STRING`，这两种格式是微软推出的安全版本的字符串结构体，也是微软推荐使用的格式，通常情况下`ANSI_S

在内核编程中字符串有两种格式ANSI_STRING与UNICODE_STRING，这两种格式是微软推出的安全版本的字符串结构体，也是微软推荐使用的格式，通常情况下ANSI_STRING代表的类型是char*

在上一篇文章《驱动开发：内核字符串转换方法》中简单介绍了内核是如何使用字符串以及字符串之间的转换方法，本章将继续探索字符串的拷贝与比较，与应用层不同内核字符串拷贝与比

在内核编程中字符串有两种格式ANSI_STRING与UNICODE_STRING，这两种格式是微软推出的安全版本的字符串结构体，也是微软推荐使用的格式，通常情况下ANSI_STRING代表的类型是char

Windows内核中是无法使用vector容器等数据结构的，当我们需要保存一个结构体数组时，就需要使用内核中提供的专用链表结构LIST_ENTRY通过一些列链表操作函数对结构体进行装入弹