本章将继续探索内核中解析PE文件的相关内容，PE文件中FOA与VA,RVA之间的转换也是很重要的，所谓的FOA是文件中的地址，VA则是内存装入后的虚拟地址，RVA是内存基址与当前地址的相对偏移，本章还...

在笔者上一篇文章《驱动开发：内核解析PE结构导出表》介绍了如何解析内存导出表结构，本章将继续延申实现解析PE结构的PE头，PE节表等数据，总体而言内核中解析PE结构与应用层没什么不同，在上一...

在笔者的上一篇文章《驱动开发：内核特征码扫描PE代码段》中LyShark带大家通过封装好的LySharkToolsUtilKernelBase函数实现了动态获取内核模块基址，并通过ntimage.h头文件中提供的系列函数解析...

如前所述，在前几章内容中笔者简单介绍了内存读写的基本实现方式，这其中包括了CR3切换读写，MDL映射读写，内存拷贝读写，本章将在如前所述的读写函数进一步封装，并以此来实现驱动读写内存浮点...