亲自翻译 Windows Research Kernel v1.2 readme.txt

1 内核研究 12 月 06 日, 2009 年

Copyright (c) Microsoft Corporation. All rights reserved.
这句就不用翻译了吧……

You may only use this code if you agree to the terms of
the Windows Research Kernel Source Code License agreement
(see License.txt).  If you do not agree to the terms, do not use the code.

你只有同意 Windows 研究内核源代码协议(见License.txt) 才能使用这些代码。
如果你不同意,请不要使用这些代码。

Read More……

WRK , 翻译

一个隐藏文件的驱动程序源代码

0 内核研究 10 月 19 日, 2009 年

 这个驱动被加载后能够自动隐藏所有以“__Nova__”开头的文件和文件夹。

Hidefile.h 文件

 

C++代码
  1. #include "ntddk.h"   
  2. #include <windef.h>   
  3.   
  4. #pragma pack(1) //SSDT Table   
  5. typedef struct ServiceDescriptorEntry {   
  6.     unsigned int *ServiceTableBase;   
  7.     unsigned int *ServiceCounterTableBase; //仅适用于checked build版本   
  8.     unsigned int NumberOfServices;   
  9.     unsigned char *ParamTableBase;   
  10. } ServiceDescriptorTableEntry_t, *PServiceDescriptorTableEntry_t;   
  11. #pragma pack()   
  12.   
  13. __declspec(dllimport) ServiceDescriptorTableEntry_t KeServiceDescriptorTable;   
  14.   
  15. //获得SSDT基址宏   
  16. #define SYSTEMSERVICE(_function)  KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)_function+1)]   
  17.   
  18. NTSTATUS DriverEntry(IN PDRIVER_OBJECT  DriverObject,IN PUNICODE_STRING  RegistryPath);   
  19. VOID Unload(IN PDRIVER_OBJECT  DriverObject);   
  20.   
  21. //……  

完整代码见详细页。

rootkit , ZwQueryDirectoryFile , SSDT