E6蹊径——深入浅出Windows内核驱动开发

windows驱动 遍历进程模块

(更多详情、使用方法，请下载后细读README.md文件) 驱动分析器\n一种静态分析工具，可帮助安全研究人员扫描 Windows 内核驱动程序列表以查找驱动程序中的常见漏洞模式（CVE 制造商！）\n通用扫描并不可靠。它只是建议潜在的驱动程序，但您可以为特定 API 编写更复杂的扫描。（在MmMapIoSpace API的代码树中有一个示例）\n例如，在下图中，您可以看到对MmMapIoSpaceAPI 的调用及其第一个可通过rcx寄存器控制的参数（fastcall调用约定中的第一个参数），因此该调用有可能成为驱动程序中的易受攻击的调用，您需要通过倒车驱动手动进行更多调查。\n最后，如果你能找到从IOCTL处理程序到这个函数调用的直接路径，那么你就发现了另一个被利用的愚蠢驱动程序。\n请注意，这个项目是一个更大项目的一部分，我只是将它作为一个独立的工具分开，所以在代码风格上存在一些不一致的地方，比如命名！\n如何建造\n您需要安装这些依赖项。\nvcpkg.exe install cerealx64- indows cerealx86-windows\nvcpkg.exe insta

内核驱动安装测试工具KMDM（Kernal-Mode Driver Manager）和DebugView工具最新版

Windows内核驱动API大约有两千多个，仅有函数名，没有函数原型

windows内核驱动条件下文件的创建、读、写等功能实现源码。适用于驱动调试和运行观察的日志打印输出，比Windbg和reaceview更方便。

windows x64位驱动程序开发 8.内存操作

windows x64位驱动程序开发 9.VS2019 配置双机调试

windows x64驱动程序开发 14.遍历驱动模块.

64Signer由张佩开发，官方下载地址：http://www.yiiyee.cn/Blog/64signer/ 64位Windows系统需要数字签名，才能在系统中安装。如果不购买数字签名，在测试阶段，可以使用64Signer来帮助你开发，从而避免了驱动无法加载，或者必须在启动时按下F8的尴尬。