CoInzBlog

Windows Driver Kit: Kernel-Mode Driver Architecture Using Files In A Driver The Microsoft Windows executive represents files by file objects, which are executive objects that are managed by the object manager. (Directories are also represented by file objects.) Kernel-mode components refer to a file by its object name, which is \DosDevices concatenated to the file's full path. (On Microsoft Wind..

Original Question Hello guys!! I'm trying to hook the ZwDeleteFile. I coded a Kernel module and it can hook the ZwDeleteFunction. I see in a "SSDT hook viewer" that the function is hooked correctly, but when I use the DeleteFile API I don't get the "Hello World from a Hooked Function" string in the DebugView Thanks for posting your code! The problem doesn't lie with your (Hoglund's) code, as far..

PhantOm Plugin 1.20 Author Hellsp@wn & Archer Description Plug-in for concealment OllyDbg (plugin with the driver). Helps from following methods of detection: // driver - extremehide.sys [+] NtQueryInformationProcess. [+] SetUnhandledExceptionFilter. [+] OpenProcess. [+] Invalid Handle. [+] NtSetInformationThread. [+] RDTSC. [+] NtYieldExecution. [+] NtQueryObject. [+] NtQuerySystemInformation. ..

Windows syscall lister Copyleft (c) by Omega Red 2005,2006 [Windows x64 edition - 10.07.2006] [Cleanup, single 32/64bit source - 07.2007] Windows version: 5.1.2600, platform 2, Dodatek Service Pack 2 NtQuerySystemInformation ok, kernel base: 00000000804d7000 Base Size Flags Idx RefC Image ----------------------------------------------------------- 7c900000 000b2000 00000000 0063 0001 \WINDOWS\sy..

How to send IOCTLs to a filter driver View products that this article applies to. Article ID : 262305 Last Review : August 4, 2005 Revision : 3.1 This article was previously published under Q262305 SUMMARY This article explains how to send IOCTL requests to a plug-and-play (PNP) filter driver by creating a separate control deviceobject instead of opening a proprietary device interface registered..

Driver Loader Description New and Improved V3.0! Installing and starting NT kernel mode drivers can be a hassle. This is especially true during the development stage of a project, before you've built an attractive gui-based custom installation program. Now, OSRLOADER eliminates your trouble. This GUI-based tool will make all the appropriate registry entries for your driver, and even allow you to..

Win-Adware/ToolBar.WebSearchBar.36864의 변형으로 보임 과거 제작자 (http://websearchbar.e-search.co.kr/) └▶ 현재 제작자 └▶ 인스톨러 다운로드 위치 > http://file.thinksite.kr/ithink/ithink_install.exe └▶ 언인스톨러 다운로드 위치 > http://file.thinksite.kr/ithink/ithink_uninstall.exe └▶ 위 링크에서 받는 프로그램은 사용자 동의를 받고 설치됨 배포 : 홈페이지, 파일구리, 몽키3툴바를 통해 사용자 동의를 받고 설치됨 특별한 악성 행위는 존재하지 않음

1. 보호모드가 무엇인가? 메모리보호, 가상메모리, 멀티태스킹, 640K 이상 메모리 등을 지원하지 않는 8086의 단점을 보완하기위해 80386 이상은 8086 계열과 호환을 유지하면서 새로운 기능들을 제공한다. 386은 8086과 286의 모든 기능과 함께 많은 추가 기능을 가지고 있다. 이전 프로세서와 같이 리얼모드(real mode)로 작동할 수 있고, 286과 같이 보호모드로 작동할 수도 있다. 그러나 386의 보호모드는 286과 내부적으로 매우 다르다. 386의 보호모드는 프로그래머에게 더 나은 메모리 보호와 더 큰 메모리 지원 제공한다. 보호모드의 목적은 프로그램을 보호하는 것이 아니다. 보호모드의 목적은 당신의 프로그램으로부터 (운영체제를 포함한) 다른 모든 것을 지키기위함이다. 1.1 보..

kd> dt nt!_peb nt!_PEB +0x000 InheritedAddressSpace : UChar +0x001 ReadImageFileExecOptions : UChar +0x002 BeingDebugged : UChar +0x003 SpareBool : UChar +0x004 Mutant : Ptr32 Void +0x008 ImageBaseAddress : Ptr32 Void +0x00c Ldr : Ptr32 _PEB_LDR_DATA +0x010 ProcessParameters : Ptr32 _RTL_USER_PROCESS_PARAMETERS +0x014 SubSystemData : Ptr32 Void +0x018 ProcessHeap : Ptr32 Void +0x01c FastPebLock ..