WASM.NT.KERNEL

Операции с памятью загруженных драйверов

invalid@example.com (Entropy) — Wed, 08 Apr 2026 11:02:28 +0000

Здрасти,как вам известно для юзермода есть функции для чтения и записи в память процесса(Read\WriteProcessMemory),так возникает вопрос,может ли загруженный драйвер читать и записывать память других драйверов ? очень интересно будет рассмотреть реализацию этого

Корректный ли это способ хука NtQueryPerformanceCounter, чтобы возвращать rdtsc напрямую?

invalid@example.com (zky02) — Thu, 26 Mar 2026 13:18:50 +0000

Привет! Это правильный способ заменить NtQueryPerformanceCounter на RDTSC? Спасибо.

Код (Text):

NTSTATUS HookedNtQueryPerformanceCounter3(
PLARGE_INTEGER PerformanceCounter,
PLARGE_INTEGER PerformanceFrequency)
{
static bool initialized = false;
if (!initialized) {
// Однократное исправление SharedUserData
__try {
// Сбросить флаг Qpc bias
*(BYTE*)(&SharedUserData->QpcData) = *(BYTE*)(&SharedUserData->QpcData) & 0xFFFE;
//...

Корректный ли это способ хука NtQueryPerformanceCounter, чтобы возвращать rdtsc напрямую?

Серия calls

invalid@example.com (Ahimov) — Sun, 21 Dec 2025 18:27:43 +0000

Привет.

В ядре 10 на ISR:

KiRaiseSecurityCheckFailure
KiRaiseAssertion
KiDebugServiceTrap

Есть чудо код, зачем это сделано загадка, я даже не могу предположить

Код (Text):

.text:000000014041010B loc_14041010B:
.text:000000014041010B add rsp, 8
.text:000000014041010F call loc_140410102
.text:0000000140410114
.text:0000000140410114 loc_140410114:
.text:0000000140410114 add rsp, 8
.text:0000000140410118...

Серия calls

Как объяснить системе, что я создал диск?

invalid@example.com (Shadowraptor) — Mon, 30 Jun 2025 21:57:55 +0000

Давно хотел попробовать wdm драйверы. Появилась минутка и решил поэкспериментировать. Создал драйвер накидал базовых функций (IRP_MJ_CREATE, IRP_MJ_CLOSE, IRP_MJ_READ, IRP_MJ_WRITE, IRP_MJ_DEVICE_CONTROL)
Через IoCreateDevice с параметром FILE_DEVICE_UNKNOWN создаю девайс, делаю симлинк. И всё работает, из пользовательского пространства функции дергаются параметры передаются и принимаются. Дальше захотелось чтобы для системы это был не непонятный девайс, а допустим диск поменял тип...

Как объяснить системе, что я создал диск?

Ресурсы устройства

invalid@example.com (Entropy) — Sun, 04 May 2025 10:30:57 +0000

Всем привет,открываю диспечер устройств, выбираю свою видеокарту,открываю вкладку 'Ресурсы' ,там перечислены ресурсы:диапазон ввода вывода,диапазон памяти,можно ли этой информации доверять или использовать для создания драйвера ?

GMEREK Systemy Komputerowe Przemyslaw Gmerek или как Gmer убивает процесс

invalid@example.com (galenkane) — Tue, 22 Apr 2025 22:14:41 +0000

Как Gmer убивает защищенные процессы (вроде руткитов!) - Заглянем под капот
Привет всем!
Многие из нас использовали Gmer для поиска и удаления всякой заразы, особенно руткитов. Но задумывались ли вы, как ему удается прибить те процессы, которые намертво сопротивляются стандартному Диспетчеру задач Windows? Руткиты и другие хитрые зловреды часто используют механизмы защиты, чтобы их нельзя было просто так завершить. Давайте разберемся, как Gmer обходит эту защиту с помощью своего...

GMEREK Systemy Komputerowe Przemyslaw Gmerek или как Gmer убивает процесс

Чтение KeServiceDescriptorTable для взаимодействия между ядром и пользовательским режимом"

invalid@example.com (zky02) — Sun, 15 Dec 2024 15:00:38 +0000

Спасибо большое, я разобрался, теперь всё работает правильно

Перечисление процессов в ядре

invalid@example.com (Marylin) — Sat, 30 Nov 2024 13:46:54 +0000

Всем привет!
Win7-x64. Задача - драйвером перечислить все активные процессы, и вытащить из их структур EPROCESS по несколько полей. Для этого функцией MmGetSystemRoutineAddress() читаю значение переменной ядра "PsInitialSystemProcess", и начиная с процесса System двигаюсь вперёд по линкам "EPROCESS.ActiveProcessLinks".

Всё работает нормально до тех пор, пока сделав полный круг не упираюсь в предыдущий от System самый первый "процесс бездействия" Idle, чтение из которого...

Перечисление процессов в ядре

запустить таймер в ядре на 24 часа

invalid@example.com (zky02) — Mon, 05 Aug 2024 03:32:36 +0000

Я считываю таймер с помощью команды RDTSC на протяжении 24 часов, и это работает замечательно. Но проблема в том, что драйвер загружается, и таймер начинает отсчет сразу, хотя драйвер загружается мгновенно. Интересно, не упустил ли я что-то здесь.

Код (Text):

#define TIMER_QUERY_STATE 0x0001
#define TIMER_MODIFY_STATE 0x0002
#define TIMER_ALL_ACCESS (STANDARD_RIGHTS_REQUIRED|SYNCHRONIZE|TIMER_QUERY_STATE|TIMER_MODIFY_STATE)
#define SECONDS_IN_24_HOURS 24 * 60 * 60

Код (Text):

NTSTATUS...

запустить таймер в ядре на 24 часа

читать на ядре 0 в Kernel Force

invalid@example.com (zky02) — Thu, 11 Jul 2024 15:39:07 +0000

это правильный подход?

Код (C++):

class TSingleProcessorMode
{
KDPC DpcTraps[MAXIMUM_PROCESSORS];
volatile LONGLONG Stall;
unsigned __int64 cr9;
KPRIORITY SavedPriority;
int CpuCount;
static void DpcRoutine(KDPC* pDpc, void* pContext, void* pArg1, void* pArg2);
public:
void Initialize();
void Enter();
void Exit();
};
void TSingleProcessorMode::Initialize()
{
RtlZeroMemory(this, sizeof(TSingleProcessorMode));
CpuCount =...

читать на ядре 0 в Kernel Force

включить SSE в ядре

invalid@example.com (zky02) — Mon, 08 Jul 2024 12:48:53 +0000

Чтобы разрешить выполнение инструкций SSE без генерации #UD, нам нужно изменить регистры CR0 и CR4

"Очистить бит CR0.EM (бит 2) [CR0 &= ~(1 << 2)]"
"Установить бит CR0.MP (бит 1) [CR0 |= (1 << 1)]"
"Установить бит CR4.OSFXSR (бит 9) [CR4 |= (1 << 9)]"
"Установить бит CR4.OSXMMEXCPT (бит 10) [CR4 |= (1 << 10)]"

Это правильный подход?

Код (C++):

VOID EnableSSE()
{
ULONG64 cr0, cr4;
cr0 = __readcr0();
cr0 &= ~(1ull << 2);
cr0 |= (1ull << 1);...

включить SSE в ядре

Я хочу внести патч для управления мышью из драйвера win32kbase.sys

invalid@example.com (zky02) — Thu, 09 May 2024 12:41:27 +0000

Я нашел несколько статей о том, как вносить патчи в старые версии Windows. Одна из них — XP. Я отладил это и обнаружил, что вносится патч в GetMouseCoord, внутри которого есть GetMouseCoordinateAbsolute/GetMouseCoordinateRelative. Я попытался внести патч, но получил синий экран смерти (BSOD) с ошибкой PROCESS_HAS_LOCKED_PAGES. Как это исправить?

Здесь в XP x86 функция GetMouseCoord патчится следующим...

Я хочу внести патч для управления мышью из драйвера win32kbase.sys

Вопрос о регистре MSR 0xCE для определения частоты RDTSC

invalid@example.com (zky02) — Sun, 28 Apr 2024 15:19:46 +0000

Здравствуйте! У меня возник вопрос касательно использования модельно-специфичного регистра (MSR) с индексом 0xCE для получения частоты процессора, которую я хотел бы использовать для корректировки результатов, получаемых с помощью инструкции RDTSC. Я использую следующий код для чтения частоты:

Код (Text):

long long freq = ((0xFF & (__readmsr(0xCE) >> 8)) * 100000000LL);

В этом коде я считываю значение из MSR, сдвигаю его на 8 бит вправо, применяю маску 0xFF для извлечения определенного...

Вопрос о регистре MSR 0xCE для определения частоты RDTSC

Как управлять прерыванием IA32_TSC_DEADLINE в Windows

invalid@example.com (zky02) — Fri, 12 Apr 2024 12:38:16 +0000

Я хотел бы считать значение IA32_TSC_DEADLINE в Windows, но, кажется, оно возвращает значение 0 в DebugView

Код (Text):

#define IA32_APIC_BASE_MSR 0x1B
#define IA32_TSC_DEADLINE_MSR 0x6E0
#define LOCAL_APIC_LVT_TIMER_OFFSET 0x320
#define LOCAL_APIC_TIMER_MODE_MASK (1 << 17)
NTSTATUS ReadLocalApicBaseAddress(ULONG64* apic_base_address)
{
ULONG64 ia32_apic_base = __readmsr(IA32_APIC_BASE_MSR);
*apic_base_address = ia32_apic_base & 0xFFFFFFFFF000ULL;
return STATUS_SUCCESS;...

Как управлять прерыванием IA32_TSC_DEADLINE в Windows

Создать дамп памяти ядра Ntoskrnl.exe

invalid@example.com (Marylin) — Wed, 27 Mar 2024 09:54:33 +0000

Всем привет!
Возникла необходимость из драйвера сдампить процесс Ntoskrnl, чтобы получить значения неэкспортирумых им переменных. Возможно-ли это в современных системах х64, ведь начиная вроде с Win8 появились сторожа типа KVAS (Kernel Virtual Address Shadow, затенение памяти ядра), и прочие. Так-же слышал, что ядро закрывает к себе доступ через мутанта (мьютекс), и чтобы сбросить его, нужно найти хэндл этого мутанта. Надеюсь не всё так плохо, и варианты получить дамп всё-же имеются? Мой...

Создать дамп памяти ядра Ntoskrnl.exe

Помощь нужна с ZwReadFile

invalid@example.com (FoxB) — Mon, 14 Aug 2023 15:05:37 +0000

Доброго времени суток!

помогите порешать проблему. Делаю эмулятор flash-накопителя на базе vusb-based эмуля.
Максимальный объем данных для чтения 65536 байт - сделан буфер UCHAR ucDataPBP[65536]={0}; адрес которого передается в подпрограмму чтения (обертка

Код (C):

MMC_ReadBlock(&ucDataPBP[0], uiFileOffset, min(ucRead,65536));.

Адаптировал команды scsi, но есть одно НО - с ZwReadFile().

в обработчике команд все хорошо и для SCSI_OP_READ_10 вычисляю длину блока данных для чтения и...

Помощь нужна с ZwReadFile

Как получить список задействованных драйверов при помощи WinDbg?

invalid@example.com (flammmable) — Wed, 22 Mar 2023 18:11:14 +0000

В статье Майкрософта есть такая картинка:

Я хотел бы получить подобный стек/список драйверов, задействованных в работе конкретного устройства. Здесь, на WASM, посоветовали использовать для получения данного стека утилиту WinDbg. Я спросил на...

Как получить список задействованных драйверов при помощи WinDbg?

Чем посмотреть задействованные драйверы?

invalid@example.com (flammmable) — Sun, 15 Jan 2023 01:56:15 +0000

Есть ли в SysInternals утилита, позволяющая отследить, какие драйверы были задействованы (и в какой последовательности) после подключения нового устройства USB?

Ньюби в сборке драйверов

invalid@example.com (LastNoob) — Sun, 27 Nov 2022 18:38:26 +0000

Начал изучать работу драйверов по книге "Программирование драйверов Windows (В. П. Солдатов)"
Скачал XP, загрузил DDK 2600, с трудом собрал программу при помощи утилиты build free.
Далее по книге перешел к этапу загрузки драйвера в систему при помощи модификации реестра.
Вот значение реестра:

После...

Ньюби в сборке драйверов

Получить RIP прерванного ядерного потока из DPC-хэндлера

invalid@example.com (Andrey333) — Fri, 28 Oct 2022 05:17:43 +0000

Всем привет!

Собственно сабж. Интересует решение для Windows 10/11 x64. Экспериментирую следующим образом:

В DriverEntry() (IRQL == PASSIVE_LEVEL):
1) Создаю тестовый поток, он начинает крутится в цикле (jmp $), адрес инструкции где он крутится мне в дальнейшем известен. Указатель на его KTHREAD так же известен
2) Делаю задержку 3 сек. Чтобы поток точно успел дойти до jmp $
3) Ставлю DPC в очередь

В одном из DPC-хэндлеров (остальные ждут пока он отработает) (IRQL == DISPATCH_LEVEL):
1)...

Получить RIP прерванного ядерного потока из DPC-хэндлера