코드82 파일 필터 드라이버 리소스 http://www.microsoft.com/whdc/driver/filterdrv/default.mspx 2010. 7. 28. 코드 프로젝트 가상 환경 탐지 코드 // IsInsideVPC's exception filter DWORD __forceinline IsInsideVPC_exceptionFilter(LPEXCEPTION_POINTERS ep) { PCONTEXT ctx = ep->ContextRecord; ctx->Ebx = -1; // Not running VPC ctx->Eip += 4; // skip past the "call VPC" opcodes return EXCEPTION_CONTINUE_EXECUTION; // we can safely resume execution since we skipped faulty instruction } // High level language friendly version of IsInsideVPC() bool.. 2010. 6. 25. KeIsAttachProcess http://www.reactos.org/pipermail/ros-diffs/2005-March/004331.html 현재 쓰래드가 Attach가 된 상황인지를 알려주는 함수이다. 링크에 기록되어있는 RecOs의 코드를 보면 현제 쓰래드의 ApcStateIndex를 통해 알수 있다. KeIsAttachedProcess(VOID) { return KeGetCurrentThread()->ApcStateIndex; } 2010. 6. 22. Kernel Data and Filtering Support for Windows Server 2008 Document 문서 중 ObRegisterCallbacks() 함수 사용시 0x0000022 에로 코드를 만나는 경우 1. 드라이버가 Signing 이 안되어 있는 경우 2. INTERGRITY_CHECK 가 안되어 있는 경우 참고 : http://bugtruck.tistory.com/33 참고 : http://winprogger.com/?p=23 Process vigilance via PsSetCreateProcessNotifyRoutineEx Posted by Satya Das October 9, 2007 PsSetCreateProcessNotifyRoutineEx is the newest kid in block if you wish to keep a watch on process creation or destru.. 2010. 6. 1. Driver x64 Restrictions 마이크로 소프트에선 아래와 같은 사항에 대해 하지 말라고 되어있다. Driver x64 Restrictions On x64-based systems, kernel code and certain kernel data structures are protected from modification. Any driver that attempts to modify such code or data will cause the system to bug check (with the CRITICAL_STRUCTURE_CORRUPTION bug check). Drivers for x64-based systems must avoid operations that might trigger this bug check. In part.. 2010. 5. 20. AMD64 http://www.codeproject.com/KB/system/AMD64_EM64T_architectur.aspx http://www.ii.uib.no/~osvik/x86-64/ 2010. 5. 7. 이전 1 ··· 4 5 6 7 8 9 10 ··· 14 다음