这篇文章比较特殊，是一篇穿插答疑文章，由于刚好在前一篇教程《驱动开发：内核枚举PspCidTable句柄表》整理了枚举句柄表的知识点，正好这个知识点能解决一个问题，事情是这样的有一个粉丝求助了一个问题，想要枚举出驱动中活动...

在前面的系列教程如《驱动开发：内核枚举DpcTimer定时器》或者《驱动开发：内核枚举IoTimer定时器》里面LyShark大量使用了特征码定位这一方法来寻找符合条件的汇编指令集，总体来说这种方式只能定位特征较小的指令如果特征...

Minifilter 是一种文件过滤驱动，该驱动简称为微过滤驱动，相对于传统的sfilter文件过滤驱动来说，微过滤驱动编写时更简单，其不需要考虑底层RIP如何派发且无需要考虑兼容性问题，微过滤驱动使用过滤管理器FilterManager提供接...

在笔者上一篇文章《驱动开发：内核特征码搜索函数封装》中为了定位特征的方便我们封装实现了一个可以传入数组实现的SearchSpecialCode定位函数，该定位函数其实还不能算的上简单，本章LyShark将对特征码定位进行简化，让定位...

首先获取Name部分，Name长度需要大于等于5，这里分别取1345四个字符除以10保存到一个数组里

Private Sub Text2_Change() '4024F0  Dim var_1C As Variant  loc_0040259D: If (Form1.Text2.Text = global_00401DC4) + 1 Then    // 如果输入的内容为空  loc_004025AA:   Se...

到了上一层：看到的是个窗口过程函数，这里在比对消息码，这里弹窗往上有个DialogBoxParamA的调用，应该就是创建Register对话框的函数，所以跟进这里的窗口过程...

在窗口过程里，发现保存编辑框内容的部分：根据控件ID判断哪个接收的是哪个值，然后这里会判断NAME需要大于3字节

本次漏洞分析实例是编号CVE-2006-3439，他是系统库NETAPI32.DLL中NetpwPathCanonicalize函数中出现的一个栈溢出漏洞，此函数主要对俩个字符串进行拼接，漏洞主要成因是函数内部对参数进行边界检查是使用了wcslen，而开辟栈的...

针对缓冲区溢出覆盖函数返回地址这一特征，微软在编译程序时使用了一个安全编译选项--GS， Visual Studio 2003 (VS 7.0)及以后版本的 Visual Studio 中默认启用了这个编译选项。在所有函数调用时，会向栈中压入一个DWOR...