国产视频欧美视频,久久人人超碰,亚洲欧美国产制服动漫

安全密码框的设计

Tue, 22 Dec 2009 05:56:00 GMT

前两天在学校做的一个小设计的论文，随手发上来，��弟不才�Q�错误之处还请各位大牛多多指�?br>如果大家�q�有什么键盘记录的�Ҏ��和防御的�Ҏ��一定一定要告诉��弟我啊�?br>
/*****************************************************************************************/

键盘作�ؓ计算机的主要输入讑֤��Q�是大部分输入信息的主要来源�Q�但是我们每天从键盘输入的信息安全吗�Q�随着互联�|�的普及�Q�各�U�网�l�应用也是层��Z��I�P��电子购物�Q�网上聊天等�{�等�{�，每天我们都会在各�U�程序上输入各式各样得分密码啊用户名啊银行卡号啊�Q�你认�ؓ�q�些�U�密安全吗？那位同学要说了：”没事啊，不都是有保护措施吗，像什�?/span>QQ的号�U�无懈可�ȝ��nprotect技术，�|�银也有各种安全插�g�Q�没事的�Q?/span>” “呵呵�Q�真的像他们说的那摩安全吗，那可不一定，没有什么是�l�对�?/span>”�Q�下面我们就来看看键盘的�U�密�Q�看看黑客们是如何记录你的键盘操作的�Q�以及我们该如何抵�M�q�些猥琐的攻��L��式�?/span>

一.键盘的硬件模�?/span>

其实键盘应该��是计算��Z��最��单的讑֤�了，在我们��用的普通的计算机系�l�中�Q�与键盘有关的硬件说白了也就是两个芯片，i8048�?/span>i8042 �?/span>i8042也就�?/span>intel8042,位于��L��?/span>,CPU通过IO端口�?/span>i8042通信,i8042负责��d��键盘按键的扫描吗或是发送个中键盘命�?/span>.i8048,它是位于键盘中的,是将键盘上的按键转换成所谓的扫描码的�Q�然后传送给i8042。呵呵，��是�q�末��单个东西。上面说的都是比较老的计算机的�l�构了，现在�q�些芯片都集成到南桥芯片�l�里面去了，不过原理�q�是�q�样的�?/span>

当我们按下一个键与抬��L��时候都会触发键盘的中断�Q�在老早的计��机中都是采用两�?/span>i8259A芯片�U�联来管理中断的�Q�键盘挂在主片的IRQ1引脚上，当有按键按下或抬��h��会引发硬件中断，然后会调用相应的中断处理�E�序�q�行处理.

在实模式与保护模式下对于中断的处理是不同的。在实模式下我就不说了，也记不的了，自己看看微机原理。在保护模式下是采用IDT对中断进行管理的�Q�在IDT中是各种各样的门啊，啥中断门�Q�陷阱门�Q�调用门啊等�{�等�{�，对于键盘中断�?/span>XP下对应的�?/span>0X31号中断服务，但也有的XP对应的事0x93�Q�原因我也不太明白，反正在我的系�l�上�?/span>0x31受��?/span>

好了既然都已�l�都调用中断处理�E�序了，那么在经�q�一�p�d��复杂的处理最�l�我们就可以在应用层上舒舒服服的�?/span>WORD打字了�?/span>

好了�Q�硬件这块就说到�q�，下面用到了相关的我们在说�?/span>

�?/span>.猥琐的键盘记录器

对于那些盗号的所谓的黑客我是很不齿的�Q�这里我们要探讨一些窃取键盘信息的�Ҏ��q�不是围了写个键盘记录的盗号�E�序�Q�我们只是站在攻防对立统一的角度来看各式盗��h��D�，�q�给出相关的防�M措施.

我知道的一些盗��L��手段也不多，而且都是一些比较普遍的手法�Q�有些也都是��L��辈的技术了�Q�不�q�现在还是很好用�Q�好多盗��L��q�是用这些土枪土炮打打打打劫…

WINDOWS�pȝ��是分为应用层与内核层的，�?/span>CPU的角度看��是RING3�?/span>RING0。应用层是受��制的，不可�q�行端口IO�Q�不可执行特权指令，限制多多。内核就不说了，惛_��嘛就�q�吧�?/span>

我也是按照应用层与内�怸�个层面进行讨论的。好了废话太多了�Q�进入正题吧.

1.��L��辈的WM_GETTEXT消息获取密码

用过MFC的都知道密码框吧�Q�就那个******的框子，他其实是个文本框只不�q�是加了密码属性而已�Q�本质上�q�是文本框。对于文本框我们��可以通过对其发送�D�Q�＿�Q��I�Q�_��Q��Q�消息来获取密码的。不�q�还有点问题�Q�在WIN98�p�d��中这样就OK了，但是NT后，你要��是对着密码框大�?/span>WM_GETTEXT是没用的�Q�密码框会说:“你又不是我们安��的，我凭啥把密码告你�?#8220;.其实�q�是跟操作系�l�有关的�Q�在WIN98下所用的�q�程是共享一�?/span>4GB的虚拟内存的�Q�那个就没什么你的我的了�Q�所有的都是大家共有的，所以一个进�E�对另一个进�E�发送一�?/span>WM_GETEXT消息�Q�应为大安��是自�׃�h所以密码就告你了。但是到�?/span>NT后各个进�E�就闹分家了�Q�每个进�E�独�?/span>4GB的虚拟内存，各个�q�程之间是互盔R��ȝ��Q�所以就没�h理你了�?/span>

我们要采用些�Ҏ��的手�D�|��能成功。也��是要把你的那段发�?/span>WM_GETTEXT消息的代码移到目标进�E�中��L��行，�Ҏ��q�是有的�Q�我使用的远�E�线�E�技术，也就是将一个功能模块诸如到目标�q�程中然后执行，�q�样��?/span>OK了。对于如何进行线�E�注入，�Ҏ��很多�Q?/span>google一下就可以了�?/span>

原理��是�q�样很简单，问题��在怎样在目标进�E�中��L��行代码，�q�种�Ҏ��p��到这把�?/span>

2.屠夫的钩�?/span>

呵呵�Q�玩�q?/span>dota吗，对就是屠夫用的钩子，�?/span>windows中同��h��钩子�Q�而且也是相当的犀利�?/span>

使用钩子相当的简单，��׃��?/span>API函数 SetWindowsHookEx�Q�不�q�内涵很丰富�Q�在windows下存在各式各��L��钩子�Q�消息钩子，鼠标钩子�Q�键盘钩子，日志钩子�Q�等�{�，具体的看�?/span>MSDN�Q�这些钩子各有各的用途，对于黑客们来说主要会用到消息钩子�Q�键盘钩子与日志钩子�Q�这些钩子都可以用来监控键盘�Q�下面分别来�?/span>.

(1)往日黄�?/span>�?/span>键盘钩子

不要�q�h��哥，哥只是个传说�?/span>

------一脑残儿童�?/span>

键盘钩子在当�q�可是相当的辉煌�Q�在那个Rootkit�q�不是很盛行的年代，各种盗号软�g

几乎��L��和他联系在一��L��Q�只不过�q�几�q�由于所谓的��d��防�M杀软的出现�Q�这�U�技术才慢慢的消�?/span>.

键盘钩子分�ؓ全局钩子与局部钩子。键盘钩子安装之后可以截��h��q�程的键盘信息。局部钩子只可以截获安装�U�程的键盘信息。既然要盗号吗，当然�?/span>IC卡，IQ卡统�l�告诉我密码�Q�要大面�U�撒�|�，��p��安装全局钩子�?/span>

键盘钩子也分��Z��U�：普通的键盘钩子与低�U�键盘钩子。对于这两种钩子的区别我自己在编�E�中�ȝ��的是�Q�低�U�键盘钩子可以截获一些系�l�按键，比如Windows健，但是普通的��׃��行了。我曄��写了个玩Dota时屏�?/span>Windows健的用的是低�U�钩子，普通的不行.如果只是拦截个一般的按键两种钩子无所谓了.

具体的编�E�很��?/span>:调用SetWindwosHookEx函数,参数��填�?/span> WH_KEYBORAD�Q�普通钩子）或�?/span>WH_KEYBOARD_LL�Q�低�U�钩子）�Q�然后写个钩子的回调函数�Q�在回调函数里面��可以获取按键的虚拟键码了，在讲虚拟键码�l�过处理��得到我们想要的�?/span>.

再提一点就是关�?/span>SHIFT键状态与Caps�?/span>Num状态的��，只要调用GetKeyState函数��可以了�Q�具体的不说了，自己�?/span>MSDN吧�?/span>

�Q?/span>2�Q�竹林蹊�?/span>�?/span>日志钩子

日志钩子是用来拦截输入到�pȝ��消息队列中的输入消息的钩子，键盘消息既然属于输入消息�Q�那��勾住吧�?/span>

用法也是so easy�Q�调�?/span>SetWindwosHookEx函数传�?/span>WH_JOURNALRECORD参数�l�他,在他的回调函数里面有个指�?/span>EVENTMSG的指针，�l�构如下�Q?/span>

typedef struct {

UINT message;

UINT paramL;

UINT paramH;

DWORD time;

HWND hwnd;

} EVENTMSG, *PEVENTMSG;

我们只拦�?/span>message ==WM_KEYDOWN的消息，��是按键按下的消息啦�Q�然�?/span>paramL&0x000000FF的值就是虚拟键码，剩下的和键盘钩子��׃��样了�Q�不说了�Q�下一节吧�?/span>

�Q?/span>3�Q�完��的世界---中英文记录的消息钩子

到目前�ؓ止我们记录到得都只是�?/span> abc123�q�些的字母数字，那位��朋友要说了�Q�我要知道他在网上的聊天内容�Q�行吗？消息钩子��q��出来�?/span>,”no problem,记录中文俺拿手啊

消息钩子�Q�见名知意，肯定是用来过滤消息的。我们先来了解一个概�?/span>”IME””.

　IME 是输入法�~�辑�?/span>(Input Method Editor) 的英文羃�?/span>(IME)�Q�它是一�U�专门的应用�E�序�Q�用来输入代表东亚地��Z��面语�a�文字的不同字�W��?/span>

说白�?/span>,我们�q�x��输入汉字时其实都是跟�q�个IME打交道的�?/span>IME也是会发出很多的消息的，�?/span>

WM_IME_CHAR WM_IME_COMPOSITION

WM_IME_COMPOSITIONFULL WM_IME_CONTROL

WM_IME_ENDCOMPOSITION WM_IME_KEYDOWN

WM_IME_KEYUP WM_IME_NOTIFY

WM_IME_REQUEST WM_IME_SELECT

WM_IME_SETCONTEXT WM_IME_STARTCOMPOSITION

我们现在主要兛_��一个消�?/span>WM_IME_COMPOSITION�Q�就是当要拼��Z��个字的时候会发出�q�个消息.�Q��ƈ且副参数�?/span>GCS_RESULTSTR的时候，��p��明输入完了，可以��拼出的句子��d��来了�Q�这��得��C��汉字�?/span>.,下面为参考代�?/span>:

/* this code from ZWELL 获得输入法处理后的字�W�串 */

if(pmsg->message==WM_IME_COMPOSITION){

DWORD dwSize;

char lpstr[128];

if(pmsg->lParam & GCS_RESULTSTR){

//先获取当前正在输入的�H�口的输入法句柄

hIMC = ImmGetContext(hWnd);

if(!hIMC) return 0;

// 先将ImmGetCompositionString的获取长度设�?/span>0来获取字�W�串大小.

dwSize = ImmGetCompositionString(hIMC, GCS_RESULTSTR, NULL, 0);

// �~�冲区大��要加上字符串的NULL�l�束�W�大��?/span>,

// 考虑�?/span>UNICODE

dwSize += sizeof(WCHAR);

memset(lpstr, 0, sizeof(lpstr));

// 再调用一��?/span>.ImmGetCompositionString获取字符�?/span>

ImmGetCompositionString(hIMC, GCS_RESULTSTR, lpstr, dwSize);

//现在lpstr里面��x��输入的汉字了。你可以处理lpstr,当然也可以保存�ؓ文�g...

//MessageBox(NULL, lpstr, lpstr, MB_OK);

其实在输入汉字的时候也是会发出WM_CHAR�?/span>WM_KEYDOWN�q�些消息的，只不�q?/span>WM_CHAR的参��C��输入英文是是不同的。汉字的输入实际上是两个WM_CHAR�Q�用内码��可以判断是否输入的是否是汉字字�W�。如果是�Q�汉字两个字节的最高位都是1�Q�连�l�两�ơ判断就可以做到。即每次�?/span>CHAR字符的最高位是否�?/span>1�Q�如果是�Q�记住这个字�W�，然后当下CHAR字符来到是，如果最高位�q�是1�Q�就可以��这两个字符合成汉字。这样就可以记录一个汉字了�?/span>

至于WM_KEYDOWN可以用来记录�?/span>ASCII的按键，�?/span>F1—F12�Q?/span>TAB�Q?/span>ENTER�{�等�?/span>

�q�样��是中英文完��的键盘记录�?/span>.

(4)用惔巴胡个墙�?/span>.---应用层的抗击

应用层键盘记录的��伎俩就说这几种吧（呵呵�Q�俺也就会这几种�Q?/span>,既然要攻防统一�Q�那我们��来谈谈如何来防御吧。在应用层防御个人感觉很是鸡肋的�Q�实��C��很是�ȝ��Q�效果也不好�Q�不�q�还是说说吧�Q?/span>

首先说说全局键盘钩子吧，全局键盘钩子是不能独立存在的�Q�他必须附加一个动态链接库文�g�Q�因为全局钩子是要监控所有的�q�程的，所以这个模块就要注入到其他的进�E�的地址�I�间中去�Q�所以要写一个单独的模块�?/span>

我们知道�?/span>Windows下加载一个模块时使用�?/span>API�?/span>LoadLibrary函数�Q�这个函数内部又会调�?/span>LoadLibraryEx函数�Q?/span>windows底层�?/span>UINCODE的，所以应该调用的�?/span>LoadLibraryExW。如果我们写的正常程序，如果调用�?/span>LoadLibrary那摩LoadLibraryExW函数的返回地址应该位于Kernel32.dll中，或者我们就是直接调用了LoadLibraryExW那摩�q�回地址应该位于我们的程序中。但是如果是被装了钩子后�Q�当你按下一个健后，�pȝ��会下按键焦点�E�序的地址�I�间中加载黑客写的键盘记录模块，调用的是LoadLibraryExW�Q�那摩这个函数的�q�回地址��׃��是以上的两种情况了，�l�我是实验是位于user32.dll中。哈哈，�Ҏ��q�一�Ҏ��们就可以判断一个模块是否�ؓ非法加蝲模块�?/span>.

原理��是�q�样啦。具体的实现要用�?/span>APIHook技术了。在�?/span>Windwos核心�~�程》中有简�l�的。可�?/span>HOOKIAT也可�?/span>InLineHook�Q�我用的�?/span>InLineHokk�Q�在自己写的HOOk函数中首先获�?/span>[ESP]的��|��q�个��是�q�回��g��Q�具体�ؓ什么应该都明白吧，不明白就找本汇编书好好补补吧。那摩就拿这个返回值去比较��可以了。简单吧。�?/span>

当然对于HOOKAPI你也可以用微软的那个Hook库，那就更简单了�?/span>

只能��是不够的，太被动了�Q�我们应该主动出凅R�?/span>

Windows下的钩子逻辑上是一个链状的�Q�一个系�l�中可以安装很多的钩子，�q�些钩子会�Ş成一个钩子链�Q�先装的钩子在最前头�Q�前面的钩子通过调用CallNextHookEx函数��信息传�l�后面的钩子�Q�如不不调用�q�个函数那摩铑֭��断了，后面的钩子永�q�互惠获取信息�?/span>

好了�Q�聪明的你一定想��C��。对�Q�我们不往下传递信息，我们自己处理�Q�让下面的钩子瞪着眼着急去吧�?/span>

具体做法为：我们在我们的�E�序中装上局部钩子，在局部钩子的回调函数中我们截��h��键消息，我们自己存�v来，然后再给密码框发个假消息�Q�比如按下了A健，我们用我们的局部钩子截获了A健消息，我们保存��h��Q�然后我们给密码框发个假消息�Q�，��p��我们接受��C��?/span>B健，然后让不调用那个CallNextHookEx函数�Q�而是直接�q�回1�Q�这样下面的钩子��?/span>game over �?/span>.

好了�Q�应用层的键盘监控与反监控就说这些吧�Q�由于杀毒��Y件的发展�Q�特别是所谓的�?/span>X��d��防�M的出玎ͼ��q�些都已�q�了历史的垃圑֠�了，现在�?/span>RootKit的时代，打劫也要讲与时俱�q�，下面我们��来看看ring0下的键盘记录的手�D�吧�?/span>

3.新的战场�Q�新的战�?/span>—rootkit的疯�?/span>

人都是属驴的�Q�不打不逼是不会走的.

----------俺的一位老师说的

�?/span>ring3下猥琐黑客们的安逸被被杀软打破了�Q�生存还是死亡。当然是要生存下��M��Q�怎没办？”TMD,反了�Q�我们要和杀软对着�q?/span>”。游戏规则被改变了。。黑客��Y件不在是只做老鼠被杀软这只大猫到处撵�q�跑�Q�老鼠要吃猫啦�?/span>

4.中规中矩----键盘�q��o驱动

既然��C��内核的领圎ͼ�那我们就来看看在内核中是如何处理按键消息的，我们从按下一个健到我们在WORD看到�q�个字母�Q�究竟发生了什�?/span>,下面是网上说�?/span>:

/*引用�?/span>: http://hi.baidu.com/buzztiger/blog/item/a851712b3739c924d52af170.html */

写过windows�E�序的�h都知道，win32�E�序是基于消息驱动的�Q�其中就有键盘消息，�q�个消息其实�?/span>csrss.exe�q�个�q�程发送给应用�E�序的，而在应用�E�序中我们可以��?/span>setWindowsHook的方法来获得键盘消息�Q�从而实现改键啊�Q�捕捉用��h��键内宏V��那�?/span>csrss.exe�q�个�q�程的键盘消息是怎么来的呢？原来csrss.exe中有�?/span>win32!RawInputThread�q�个�U�程�Q�这个线�E�通过一�?/span>GUID�Q�即GUID_CLASS_KEYBOARD�Q?/span>DEFINE_GUID(GUID_CLASS_KEYBOARD, 0x884b96c3, 0x56ef, 0x11d1, 0xbc, 0x8c, 0x00, 0xa0, 0xc9, 0x14, 0x05, 0xdd)来获得键盘设备栈�?/span>PDO的符号链接名�?/span>win32!RawInputThread执行�?/span>win32k!openDevice�Q�调�?/span>zwCreateFile打开讑֤��Q�然后调�?/span>zwReadFile与键盘驱动通信了。它会创��Z��?/span>IRP_MJREAD�?/span>IRP发送给键盘驱动�Q�而键盘驱动通常使这�?/span>IRP Pending�Q�这样它��׃��一直被攑֜�那里�{�待�Q�等来来自键盘的数据�Q�即win32!RawInputThread�q�个�U�程也会一直等待，�{�待�q�个��L��作的完成。当键盘有键按下时这�?/span>IRP��会完成�Q?/span>win32!RawInputThread��对得到的数据进行处理，分发�l�合适的�q�程�Q�通常是获得焦点的�q�程�Q�这�?/span>win32!RawInputThread又会立即再调�?/span>nt!ZwReadFile要求��d��数据�Q�又开始了下一个等待，周而复�?/span>

/*引用�l�束*/

键盘的驱动栈从上��C��依次�?/span>:kbdclass.sys---ài8042port.sys---àacpi.sys

其中kbdclass.sys为键盘的�c�驱动，不管�?/span>PS/2键盘�q�是USB键盘都要通过�q�一层驱动，所以在�q�一层进行过滤可以有和好的兼�Ҏ��?/span>

I8042port.sys�?/span>PS/2键盘的端口驱动，�q�个只对PS/2键盘好用�Q?/span>USB键盘他管不了的�?/span>

对于键盘的过滤驱动，我选择是在kbdclass.sys�q�行�q��o.

具体做法�Q?/span>

1.使用ObReferenceObjectByName获取”\\Driver\\Kbdclass”所对应的驱动对象�?/span>

2.枚�D�q�个驱动对象下的所有设备，�q�创��Z��个过滤设备附加上�?/span>.

3.主要处理IRP_MJ_READ�q�个IRP。首先设�|�一个完成函敎ͼ�然后向下转发�?/span>IRP�?/span>

4.在完成函��C��可以获取此�ơ的案�g的扫描码了�?/span>

5.对于IRP_MJ_POWER, IRP_MJ_PNP也要�q�行处理.

呵呵�Q�很��单吧�Q�驱动入门��?/span>Hello Wolrd�?/span>

5.乑֝�大挪�U?/span>----HOOKIDT与操�U?/span>APIC

在前面我们讲到在按下一个键与抬��L��时候会触发一个硬件中断，XP下，操作�pȝ��回去调用 0x31�?/span>0x93中断处理�E�序区处理。那么我们可不可以自己写一�?/span>ISR��L��键盘中断呢,�Q�当�Ӟ��别忘了，我们是在内核中现在，我们无所不能 �?/span>

我们知道在保护模式下是采�?/span>IDT�q�行中断��理的，IDT是有许多门组成的。每个闷得结构如�?/span>:

typedef struct IDTEntry

{

HB_U16 LowOffset ;//偏移的低16�?/span>

HB_U16 Selector ;//选择�?/span>

HB_U8 Count:5; //参数的双字计�?/span>

HB_U8 Reserve:3 ;//保留�?/span>0

HB_U8 Type:4 ;//�c�d��

HB_U8 DT0:1; //DT=0,�pȝ��D�|��q�符

HB_U8 DPL:2; //DLP

HB_U8 P:1; //P�?/span>

HB_U16 HightOffset;//偏移的高16�?/span>

}IDTEntry,*PIDTEntry;

其中Lowoffset�?/span>HighOffset��构成了实际的中断处理程序的地址.。我们如果自己写一个中断处理程序，然后修改Lowoffset�?/span>HighOffset�Q�让其指向我们自��q��写的那个函数不久可以了吗..

在我们自��q��键盘中断处理函数中我们可以直接将数据�?/span>i8042的端口读出，存储��h��Q�然后再调用原先的系�l�默认的函数�Q�这样就��不知鬼不觉的达到的不可告�h的目�?/span>.

�q�有一�U�方法��用的手段于此�怼��Q�也是替换，不过�q�次是将键盘�?/span>IRQ1中断的处理函数的中断向量更改�Q�不在是指向0x31或是0x93了，而是指向另一个向�?/span>.�q�个向量包含我们自己的处理程�?/span>.�Q�这��是APIC机制.。不�q�我的这个破�W�记本比较老了�Q�没有这个机�Ӟ��

所以只能纸上谈兵了.,�q�是先简�l�一�?/span>APIC�?/span>.

APIC是可以用于多个核心的CPU的新型中断控制器,APIC的作用相当于当一�?/span>IRQ发生�Ӟ��q�个��g军_��?/span>IRQ发个呢个CPU核心,以及一何种形式发送等�?/span>APIC是可�~�程的，也可以将PS/2键盘的硬件中断请求发�l�某�?/span>CPU核心�Q�让该核心的IDT中的某个中断号对应的中断服务�E�序来处�?/span>.

Windows��?/span>APIC的系列寄存器映射��C��地址0xFEC00000�?/span>0xFEC00010的位�|��?/span>

也就是说我们可以通过�~�程来进行中断的重定位，具体操作看着APIC的说明添��L��据就可以了，其实�?/span>HOOKIDT一��L��。就不多说了.

6.�q�璞归真�?/span>轮询i8042

有时候其实一个问题的解决�Ҏ��q�不是月复杂��p��强悍�Q�有时候简单的土的掉渣的技术反而是最�E�_��?/span>

轮询�Q�这�U�古老的技术，虽然�׃��效率低下已经早已被淘汎ͼ�但是我们需要的正是�q�个�?/span>

键盘是可以通过�~�程关闭中断的，但是当我们按下一个健的时候，键盘的输出缓冲区中仍然会有扫描码填充�Q�只是中断关闭了�Q�操作系�l��ƈ不知道�?/span>

我们的做法是�Q�首先关闭键盘的中断�Q�然后通过轮询的方法读取输出端口的案�g扫描码，自己�q�行一些处理，然后打开键盘中断�Q�再��此按键重放�Q�这��h��作系�l�会获取�q�个按键�Q�然后在关闭中断�Q�一直这样��@环下厅R�?/span>

原理��是�q�样�Q�简单也很可靠，我最�l�的密码保护��是采用�q�个�Ҏ��的�?/span>

我的�E�序分了三个层次:

因�ؓ�?/span>Ring3下无法读写端口的�Q�所以自己写了个驱动�Q�负责读写端口，RING3上蝲写个DLL通过DeviceIoControl与内核进行通信�Q�传递端口地址与设�|�的值等信息,�q�对上面的应用程序提供简单的�?/span>READ_PORT(ULONG port),�q�样的接口�?/span>

在应用程序中�Q�在要保护的密码框获取焦�Ҏ��(处理WM_SETFOCUS消息),则关闭键盘中断进行轮�?/span>,在市区焦�Ҏ��则打开键盘中断.在获取按键后你可以在�E�序中记录下来，再在密码框中填充个假的密码�?/span>

�׃��是不间断的轮询所以保证在�W�一旉��获取扫描码，在上层的如过滤驱动，HOOKIDT�{?/span>

�q�有应用层得到钩子啥的，�l�统失效�Q�实践证明还是很可靠的，只不�q�还不是很完善，目前只支�?/span>PS/2键盘�Q?/span>USB的还不行.

7.我们�?/span>OUT�?/span>----��g键盘记录�?/span>

日防夜防�Q�家贼难防啊�Q�要是硬件上做了手脚�Q�那��p��?/span>55555555555……

看看�q�个猥琐的家伙吧…高科技�?/span>

好了�Q�该�l�尾了，呵呵�Q�现在你�q�信你的键盘吗？

杨�{�?/a> 2009-12-22 13:56 发表评论

Fri, 04 Sep 2009 11:40:00 GMT

�?Intel 的��Y件开发者手册第二、三��P��Vol.2B,Vol.3�Q�中�Q?.8.7 节是关于 sysenter/sysexit 指��o的详�l�描�q�。手册中说明�Q�sysenter

指��o可用于特权�� 3 的用户代码调用特权�� 0 的系�l�内�总�码，�?SYSEXIT 指��o则用于特权�� 0 的系�l�代码返回用��L��间中。sysenter �?/p>

令可以在 3�Q?�Q? �q�三个特权��别调用（Linux 中只用到了特权�� 3�Q�，�?SYSEXIT 指��o只能从特权�� 0 调用�?/p>

执行 sysenter 指��o的系�l�必��L��两个条�Ӟ��1.目标 Ring 0 代码�D�必��L��q�_��模式�Q�Flat Mode�Q�的 4GB 的可��d��执行的非一致代码段�?/p>

2.目标 RING0 堆栈�D�必��L��q�_��模式�Q�Flat Mode�Q�的 4GB 的可��d��写向上扩展的栈段�?/p>

�?Intel 的手册中�Q�还提到�?sysenter/sysexit �?int n/iret 指��o的一个区别，那就�?sysenter/sysexit 指��o�q�不成对�Q�sysenter �?/p>

令�ƈ不会�?SYSEXIT 所需的返回地址压栈�Q�sysexit �q�回的地址�q�不一定是 sysenter 指��o的下一个指令地址。调�?sysenter/sysexit 指��o

地址的蟩转是通过讄��一�l�特�D�寄存器实现的。这些寄存器包括�Q?/p>

SYSENTER_CS_MSR �Q?用于指定要执行的 Ring 0 代码的代码段选择�W�，由它�q�能得出目标 Ring 0 所用堆栈段的段选择�W�；

SYSENTER_EIP_MSR �Q?用于指定要执行的 Ring 0 代码的�v始地址�Q?/p>

SYSENTER_ESP_MSR�Q�用于指定要执行的Ring 0代码所使用的栈指针

�q�些寄存器可以通过 wrmsr 指��o来设�|�，执行 wrmsr 指��o�Ӟ��通过寄存�?edx、eax 指定讄��的��|��edx 指定值的�?32 位，eax 指定值的

�?32 位，在设�|�上�q�寄存器�Ӟ��edx 都是 0�Q�通过寄存�?ecx 指定填充�?MSR 寄存器，sysenter_CS_MSR、sysenter_ESP_MSR�?/p>

sysenter_EIP_MSR 寄存器分别对�?0x174�?x175�?x176�Q�需要注意的是，wrmsr 指��o只能�?Ring 0 执行�?/p>

�q�里�q�要介绍一个特性，��是 Ring0、Ring3 的代码段描述�W�和堆栈�D�|��q�符在全局描述�W�表 GDT 中是��序排列的，�q�样只需知道

SYSENTER_CS_MSR 中指定的 Ring0 的代码段描述�W�，��可以推��出 Ring0 的堆栈段描述�W�以�?Ring3 的代码段描述�W�和堆栈�D�|��q�符�?/p>

�?Ring3 的代码调用了 sysenter 指��o之后�Q�CPU 会做出如下的操作�Q?/p>

1�Q?��?SYSENTER_CS_MSR 的��D��载到 cs 寄存�?/p>

2�Q?��?SYSENTER_EIP_MSR 的��D��载到 eip 寄存�?/p>

3�Q?��?SYSENTER_CS_MSR 的值加 8�Q�Ring0 的堆栈段描述�W�）装蝲�?ss 寄存器�?/p>

4�Q?��?SYSENTER_ESP_MSR 的��D��载到 esp 寄存�?/p>

5�Q?��特权��切换�?Ring0

6�Q?如果 EFLAGS 寄存器的 VM 标志被置位，则清除该标志

7�Q?开始执行指定的 Ring0 代码

�?Ring0 代码执行完毕�Q�调�?SYSEXIT 指��o退�?Ring3 �Ӟ��CPU 会做出如下操作：

1�Q?��?SYSENTER_CS_MSR 的值加 16�Q�Ring3 的代码段描述�W�）装蝲�?cs 寄存�?/p>

2�Q?��寄存器 edx 的��D��载到 eip 寄存�?/p>

3�Q?��?SYSENTER_CS_MSR 的值加 24�Q�Ring3 的堆栈段描述�W�）装蝲�?ss 寄存�?/p>

4�Q?��寄存器 ecx 的��D��载到 esp 寄存�?/p>

5�Q?��特权��切换�?Ring3

6�Q?�l�箋执行 Ring3 的代�?/p>

由此可知�Q�在调用 SYSENTER �q�入 Ring0 之前�Q�一定需要通过 wrmsr 指��o讄��?Ring0 代码的相关信息，在调�?SYSEXIT 之前�Q�还要保�?/p>

寄存器edx、ecx 的正��性�?/p>

�Ҏ�� Intel �?CPU 手册�Q�我们可以通过 CPUID 指��o来查�?CPU 是否支持 sysenter/sysexit 指��o�Q�做法是��?EAX 寄存器赋�?1�Q�调�?

CPUID 指��o�Q�寄存器 edx 中第 11 位（�q�一位名�U�Cؓ SEP�Q�就表示是否支持。在调用 CPUID 指��o之后�Q�还需要查�?CPU �?Family、Model�?/p>

Stepping 属性来��认�Q�因为据�U?Pentium Pro 处理器会报告 SEP 但是却不支持 sysenter/sysexit 指��o。只�?Family 大于�{�于 6�Q�Model

大于�{�于 3�Q�Stepping 大于�{�于 3 的时候，才能��认 CPU 支持 sysenter/sysexit 指��o�?/p>

/=============================================================================
//在WINDBG中对NTDLL.dll中的NtCreateFile函数的调试信�?br>ntdll!NtCreateFile:
7c92d682 b825000000      mov     eax,25h
7c92d687 ba0003fe7f      mov     edx,offset SharedUserData!SystemCallStub (7ffe0300)
7c92d68c ff12            call    dword ptr [edx]
7c92d68e c22c00          ret     2Ch

lkd> dd 7ffe0300
7ffe0300 7c92eb8b 7c92eb94 00000000 00000000

lkd> u 7c92eb8b
ntdll!KiFastSystemCall:
7c92eb8b 8bd4 mov edx,esp
7c92eb8d 0f34 sysenter

/**************************************************************/

SYSENTER��介及相关例子

文章作者：wowocock1/CVC.GB

;众所周知微��Y自XP后引�q�了FASTCALL SYSENTER�Q�SYSEXIT来代替WIN2K下INT2E�pȝ��服务调用
;其优�Ҏ��快速而且没有保留堆栈的开销�Q��ؓ了便于大家理解我写下面一个在WIN98下的例子
;来说明一下这2条指令的用法。ITNEL的手册上关于他们介绍的很详细�Q�我��要说明一�?br>;SYSENTER是INTEL自P2后引�q�的快速从RING3~RING0的FASTCALL�Q�从FAMILY 6�Q�MODEL 3�Q?br>;STEP 3也就是从PII300以后引进的，�q�也是�ؓ什么WINXP需要PII300以上的原因。在使用SYSENTER
;之前必须定义好RING0 CS EIP ESP�Q�通过讄��相应MSR寄存�?由WRMSR指��o来设定（必须在RING0层执行）;
;通过��相应的寄存器地址��h��入ECX中，WRMSR可以讄��q�些MSR寄存�?对应关系如下
;SYSENTER_CS_MSR 174H SYSENTER_ESP_MSR 175H SYSENTER_EIP_MSR 176H
;执行SYSENTER指��o的系�l�必��L��?1�Q��{换后的RING0代码�D�必��L��FLAT�Q?GB的可��d��执行
;的非一致代码段.2:转换后的RING0堆栈�D�必��L��FLAT�Q?GB的可��d��写向上扩展的数据�D?br>;�׃��FASTCALL不保存�Q何返回的地址�Q�所以在调用前你必须自己讑֮�好，RING0代码�D�SELECTOR
;RING0堆栈�D�SELECTOR�Q�RING3代码�D�SELECTOR�Q�RING3堆栈�D�SELECTOR�Q�必��d��GDT中连�l�的排列
;所以在XP下相应的SELECTOR�Q�必然是8H�Q?0H�Q?BH�Q?3H�Q�必��d��q�回至RING3 EIP,ESP通过寄存�?br>;传递进RING0以便SYSEXIT�q�回使用�Q�在SYSEXIT�q�回之前�Q�EDX为RING3 EIP�Q�ECX为RING3 ESP
;而相应的CS�Q�SS�Q�则由RING0 CS加上10H�Q?8H来返�?br>;RING3~RING0
;1. 装蝲SYSENTER_CS_MSR 到CS 寄存�?
;2. 装蝲SYSENTER_EIP_MSR�?EIP寄存器�?
;3. SYSENTER_CS_MSR+8 装蝲到SS寄存�?
;4.装蝲SYSENTER_ESP_MSR 到ESP寄存器�?
;5. 切换RING0.
;6. 清除 EFLAGS�?VM标志
;7. 执行RING0例程
;RING0~RING3
;1。SYSENTER_CS_MSR+16装蝲�?CS寄存�?br>;2. ��EDX的值送入EIP
;3. SYSENTER_CS_MSR+24 装蝲到SS寄存�?
;4. ��ECX的值送入ESP
;5.切换回RING3
;6. 执行EIP处的RING3指��o
;下面的例子在�C��的基��上加了个��TRICK�Q�就是在通过CALLGATE�q�RING0讄��MSR寄存器的同时
;��x��了你机器上的�~�存�Q�然后你可以看看在没有缓存的情况下你的感觉如何，然后点击一�?br>;对话框，则经由SYSENTER指��o�q�入RING0讑֮�好的地址处恢复你CPU�~�存�Q�所以别担心�Q�还�?br>;没有�~�存的时候你的动作最好慢一点，不然会让你等的发疯的�Q�呵��c�?br>.686p
.model flat,stdcall
option casemap:none

include \masm32\include\windows.inc
include \masm32\include\kernel32.inc
include \masm32\include\user32.inc

includelib \masm32\lib\kernel32.lib
includelib \masm32\lib\user32.lib

sysenter macro
db 0fh,34h
endm

sysexit macro
db 0fh,35h
endm

CR0_CD EQU 040000000h ; Cache Disable bit of CR0
CR0_NW EQU 020000000h ; Not Write-through bit of CR0
.data
Ring0Cs dw 0ffffh,0,09b00h,0cfh
Ring0Ss dw 0ffffh,0,09300h,0cfh
Ring3Cs dw 0ffffh,0,0fb00h,0cfh
Ring3Ss dw 0ffffh,0,0f300h,0cfh

trR dw ?
tssRing0Esp dd ?
GdtLimit dw ?
GdtAddr dd ?

Callgt dq 0 ;call gate’s selff
tmpCs dw ?
szTitle db "CPU info",0
msg db 100 dup (?)
Nightmare db "切换到其他窗口，��尝没CACHE的滋�?",0

.code
Start:
mov ax,ds
test ax,4
jz Exit;winnt
xor eax,eax
cpuid
lea edi,msg
xchg eax,ebx
stosd
xchg eax,edx
stosd
xchg eax,ecx
stosd
invoke MessageBoxA,0,addr msg,addr szTitle,0
mov eax,1
cpuid
test edx,800h
jz Exit
mov eax,2
cpuid
SetSel:
sgdt GdtLimit
str word ptr trR ;存储��d��寄存�?br>;-----------------------
; get the tr mes
;-----------------------
movzx esi,trR
add esi,GdtAddr ;ESi指向GDT中TSS描述�?br>mov eax,[esi+2]
and eax,0ffffffh
mov ebx,[esi+4]
and ebx,0ff000000h
or eax,ebx ;eax中保存TSS的基地址

push dword ptr[eax+4]
pop dword ptr [tssRing0Esp] ;保存RING0使用的堆栈地址

movzx eax,GdtLimit ;在GDT的最后选取四个表目��预讄��4个描�q�符存入
test al,1
jz @f
inc eax
@@:
sub eax,4*8
mov tmpCs,ax
add eax,GdtAddr
lea esi,Ring0Cs
mov edi,eax
mov ecx,4*8
rep movsb

SetMsr:
;-------------------------------------
; 在GDT中寻扄��白表��Ҏ��刉��调用门
;-------------------------------------
mov esi,GdtAddr
movzx eax,GdtLimit
call Search_XDT
;esi==gdt Base
mov esi,dword ptr GdtAddr
push offset Ring0_SetMsr
pop word ptr [esi+eax+0]
pop word ptr [esi+eax+6] ;Offset

mov word ptr [esi+eax+2],28h
mov word ptr [esi+eax+4],0EC00h ;sel=28h and attribute ->386 call gate!

and dword ptr Callgt,0

mov word ptr [Callgt+4],ax
pushad
call fword ptr [Callgt] ;Ring0!
popad
mov dword ptr [esi+eax+0],0
mov dword ptr [esi+eax+4],0

invoke MessageBoxA,0,addr Nightmare,addr Nightmare,0
lea edx,Exit
mov ecx,esp
sysenter

Exit:
push 00000000h ; Exit program
call ExitProcess

;----------------------------------------------------------------------

Ring0_SetMsr:
mov ecx,174h
movzx eax,tmpCs
wrmsr
inc ecx
mov eax,tssRing0Esp
wrmsr
inc ecx
lea eax,Ring0Ip
wrmsr

mov eax,cr0 ; read CR0
or eax,CR0_CD ; set CD but not NW bit of CR0
mov cr0,eax ; cache is now disabled
wbinvd ; flush and invalidate cache

; the cache is effectively disabled at this point, but memory
; consistency will be maintained. To completely disable cache,
; the following two lines may used as well:

or eax,CR0_NW ; now set the NW bit
mov cr0,eax ; turn off the cache entirely

retf

;----------------------------------------------------------------------
Ring0Ip:
pushad

pushf ; save the flags
cli ; disable interrupts while we do this
mov eax,cr0 ; read CR0
and eax,0dfffffffh ; now set the NW bit
mov cr0,eax ; turn on the cache entirely

and eax,0bfffffffh ; set CD but not NW bit of CR0
mov cr0,eax ; cache is now Ensabled

popf ; restore the flags

mov eax,cr0
mov [esp+4*7],eax
popad
sysexit

;----------------------------------------------------------------------

Search_XDT proc near
;entry esi==Base of Ldt or GDT ;Eax==Limit

pushad
mov ebx,eax
mov eax,8 ; skipping null selector
@@1:
cmp dword ptr [esi+eax+0],0
jnz @@2
cmp dword ptr [esi+eax+4],0
jz @@3
@@2:
add eax,8
cmp eax,ebx
jb @@1 ;if we haven’t found any free GDT entry,
;lets use the last two entries
mov eax,ebx
sub eax,7
@@3:
mov [esp+4*7],eax ; return off in eax
popad
ret
Search_XDT endp
end Start

;=======================================================================================================
1 【原创】rootkit hook之[六] -- sysenter Hook

--------------------------------------------------------------------------------

�?�? 【原创】rootkit hook之[六] -- sysenter Hook
�?�? combojiang
�?�? 2008-02-26,12:25
�?�? http://bbs.pediy.com/showthread.php?t=60247

呵呵�Q�今天这��内容少�Q�比较简单�?/p>

SYSENETER是一条汇�~�指令，它是在Pentium? II 处理器及以上处理器中提供的，是快速系�l�调用的一部分。SYSENTER/SYSEXIT�q�对指��o专门用于实现快速调用。在�q�之前是采用INT 0x2E来实现的。INT 0x2E在系�l�调用的时候，需要进行栈切换的工作。由于Interrupt/Exception Handler的调用都是通过 call/trap/task�q�一�cȝ��gate来实现的�Q�这�U�方式会�q�行栈切换，�q�且�pȝ��栈的地址�{�信息由TSS提供。这�U�方式可能会引�v多次内存讉K�� Q�来获取�q�些切换信息�Q�，因此�Q�从PentiumII开始，IA-32引入了新指��o�Q�SYSENTER/SYSEXIT�?有了�q�两条指令，
从用��L�到特权��的堆栈以及指令指针的转换�Q�可以通过�q�一条指令来实现�Q��ƈ且，需要切换到的新堆栈的地址�Q�以及相应过�E�的�W�一条指令的位置�Q�都有一�l�特�D�寄存器来实玎ͼ��q�类�Ҏ��寄存器在IA-32中称为MSR(Model Specific Register)。这里牵涉到3个特�D�寄存器�Q?
SYSENTER_CS_MSR: New code segment selector   0x174
SYSENTER_ESP_MSR: New Stack Pointer                0x175
SYSENTER_EIP_MSR: New Instruction Pointer        0x176
�q�里标出�?�?6�q�制数分别对应这3个寄存器的地址�Q�该地址用于Kernel debug�Ӟ��通过rdmsr/wrmsr指��o来读/写这3个寄存器。步骤如下：
10.JPG
1. 装蝲SYSENTER_CS_MSR 到CS 寄存器，讄��目标代码�D?br>2. 装蝲SYSENTER_EIP_MSR�?EIP寄存器，讄��目标指��o
3. SYSENTER_CS_MSR+8 装蝲到SS寄存�?�Q�设�|�栈�D?br>4. 装蝲SYSENTER_ESP_MSR 到ESP寄存器，讄��栈��
5. 切换RING0.
6. 清除 EFLAGS�?VM标志
7. 执行RING0例程

11.JPG
1. SYSENTER_CS_MSR+16装蝲�?CS寄存�?
2. ��EDX的值送入EIP
3. SYSENTER_CS_MSR+24 装蝲到SS寄存�?
4. ��ECX的值送入ESP
5. 切换回RING3
6. 执行EIP处的RING3指��o

我们在windbg中可以看看这个三个寄存器的情况，�q�个是我机器里的情况�?br>lkd> rdmsr 176
msr[176] = 00000000`8053dad0
lkd> rdmsr 175
msr[175] = 00000000`ba4e0000
lkd> rdmsr 174
msr[174] = 00000000`00000008

可以看到�Q�我的机器里面当前SYSENTER_EIP_MSR�Q�SYSENTER_ESP_MSR�Q�SYSENTER_CS_MSR�q�三个寄存器的倹{�?/p>

我们在微软公开的内核WRK中发现关于这三个寄存器的讄��Q�其中SYSENTER_EIP_MSR讄��的值是KiFastCallEntry�?br>代码如下�Q?br>VOID
KiLoadFastSyscallMachineSpecificRegisters(
IN PLONG Context
)

/*++

Routine Description:

Load MSRs used to support Fast Syscall/return. This routine is
run on all processors.

Arguments:

None.

Return Value:

None.

--*/

{
PKPRCB Prcb;

UNREFERENCED_PARAMETER (Context);

if (KiFastSystemCallIsIA32) {

Prcb = KeGetCurrentPrcb();

        //
        // Use Intel defined way of doing this.
        //

        WRMSR(MSR_SYSENTER_CS, KGDT_R0_CODE);
        WRMSR(MSR_SYSENTER_EIP, (ULONGLONG)(ULONG)KiFastCallEntry);
        WRMSR(MSR_SYSENTER_ESP, (ULONGLONG)(ULONG)Prcb->DpcStack);

}
}

看看我电脑的情况如下�Q?br>lkd> rdmsr 176
msr[176] = 00000000`8053dad0
lkd> u 8053dad0
nt!KiFastCallEntry:
8053dad0 b923000000      mov     ecx,23h
8053dad5 6a30            push    30h
8053dad7 0fa1            pop     fs
8053dad9 8ed9            mov     ds,cx
8053dadb 8ec1            mov     es,cx
8053dadd 8b0d40f0dfff    mov     ecx,dword ptr ds:[0FFDFF040h]
8053dae3 8b6104          mov     esp,dword ptr [ecx+4]
8053dae6 6a23            push    23h

下面是rootkit.com上的一个例子，�q�个例子有点不厚道，在你卸蝲的时候会bsod.我简单修改了下，贴代码如下：
#include "ntddk.h"

ULONG d_origKiFastCallEntry; // Original value of ntoskrnl!KiFastCallEntry

VOID OnUnload( IN PDRIVER_OBJECT DriverObject )
{
    _asm
    {
          mov ecx, 0x176
        xor edx,edx
        mov eax, d_origKiFastCallEntry     // Hook function address
        wrmsr                        // Write to the IA32_SYSENTER_EIP register
      }
}

// Hook function
__declspec(naked) MyKiFastCallEntry()
{
__asm {
jmp [d_origKiFastCallEntry]
}
}

NTSTATUS DriverEntry( IN PDRIVER_OBJECT theDriverObject, IN PUNICODE_STRING theRegistryPath )
{
theDriverObject->DriverUnload = OnUnload;

__asm {
            mov ecx, 0x176
        rdmsr                 // read the value of the IA32_SYSENTER_EIP register
        mov d_origKiFastCallEntry, eax
        mov eax, MyKiFastCallEntry     // Hook function address
        wrmsr                        // Write to the IA32_SYSENTER_EIP register
}

return STATUS_SUCCESS;
}

注意一点，大家用windbg的时候，配置symbol path,如图�Q?br>9.JPG

后面贴上一��堕落天才写的文章链接：http://bbs.pediy.com/showthread.php?t=42705�Q?br>他inline hook 了KiFastCallEntry�Q�采用detour方式,写得很不错�?

上传的附�?SysEnterHook.rar (973 字节, 743 �ơ下�?

;=====================================================================================================================
【原创】另一�U�sysenter hook�Ҏ��(�l�过�l�大多数的rootkit��工��L��?

--------------------------------------------------------------------------------

�?�? 【原创】另一�U�sysenter hook�Ҏ��(�l�过�l�大多数的rootkit��工��L��?
�?�? 堕落天才
�?�? 2007-04-14,11:09
�?�? http://bbs.pediy.com/showthread.php?t=42705

*****************************************************************************
*标题:【原创】另一�U�sysenter hook�Ҏ��(�l�过�l�大多数的rootkit��工��L��? *
*作�?堕落天才 *
*日期:2007�q?�?4�?nbsp; *
*****************************************************************************

先废�?当初是�ؓ了绕开NP对sysenter保护而想出来�?后来发现�q�RootkitUnhooker都绕�?

    什么是sysenter hook我也不罗唆了,一般的拦截�Ҏ��是通过rdmsr wrmsr 两个指��o把原来的sysenter地址�Ҏ��自己的sysenter地址来实现的.�q�种�Ҏ��使用方便,但检��也很容�?
    �q�里介绍的另外一�U�方法不改变sysenter地址,而是通过直接在原来sysenter地址里面写蟩转代码来实现�?�q�实际上跟一般的函数头inline hook一�?�q�样rootkit��工具就不会认�ؓsysenter已经改变(实际上也是没�?.
    一般的rootkit��工��h��函数inline hook是通过��长跌��{指��o0xE9的来判断跌��{距离是不是超出函数所在的模块范围来确定的.但是实现跌��{我们也可以借助寄存器或变量(用变量蟩转需要涉及重定位问题,�ȝ��.所以一般用寄存�?,�q�样跌��{指��o��׃��?xE9了而是0xFF,�q�个�l�大多数rootkit��工��h��不到的(包括著名的RootkitUnhooker,VICE).

    �׃��我们已经改变了KiFastCall函数�?所以我们只能把原来的函数头代码攑ֈ�另外一个地�Ҏ��?动态分配内�?当然如果不考虑兼容性硬�~�码也没问题),然后再蟩转回�?�q�里使用�?三��?,大概是这个样�?
    sysenter->KiFastCall
             JMP -> MyKiFastCall(�q�里�q�行拦截或什么的)
                    JMP -> KiFastCall head code (�q�里执行原来KiFastCall函数头代�?
                           JMP -> KiFastCall + N(已经执行指��o长度)
///////////////////////////////////////////////////////////////////////////////////////////////////
//堕落天才
//2007�q?�?4�?br>#include
#include "OpCodeSize.h"

ULONG uSysenter;           //sysenter地址
UCHAR uOrigSysenterHead[8];//保存原来的八个字节函数头
PUCHAR pMovedSysenterCode; //把原来的KiFastCall函数头保存在�q�里
ULONG i;                   //记录服务ID
__declspec(naked) void MyKiFastCallEntry(void)
{
__asm{
            pop edi     //因�ؓ用到了edi来蟩�?�q�里恢复
             mov i, eax //得到服务ID
}
__asm{
           pushad
           push fs
             push 0x30
            pop fs
}

DbgPrint("sysenter was hooked! Get service ID:%X",i); //证明自己存在

__asm{
             pop fs
             popad
    jmp pMovedSysenterCode //�W�二�?跌��{到原来的函数头代�?
}

}
//////////////////////////////////////////////////////
VOID OnUnload(IN PDRIVER_OBJECT DriverObject)
{
__asm{
    cli
             mov eax,cr0
    and eax,not 10000h
    mov cr0,eax
}

memcpy((PVOID)uSysenter,uOrigSysenterHead,8);//把原来函数头的八个字节恢�?/p>

__asm{
    mov eax,cr0
            or   eax,10000h
    mov cr0,eax
    sti
}
ExFreePool(pMovedSysenterCode); // 释放分配的内�?br> DbgPrint("Unload sysenterHook");
}
////////////////////////////////////////////////////////

VOID HookSysenter()
{
UCHAR cHookCode[8] = { 0x57, //push edi �W�一�?从KiFastCall跛_��MyKiFastCallEntry.�q�绕�q�rootkit��工��h��?br> 0xBF,0,0,0,0, //mov edi,0000
0xFF,0xE7}; //jmp edi

UCHAR JmpCode[]={0xE9,0,0,0,0}; //jmp 0000 �W�三�?从KiFastCall函数头代码蟩转到原来KiFastCall+N

int nCopyLen = 0;
int nPos = 0;

__asm{
          mov ecx,0x176
            rdmsr
    mov uSysenter,eax //得到KiFastCallEntry地址
}
DbgPrint("sysenter:0x%08X",uSysenter);

nPos = uSysenter;
   while(nCopyLen<8){ //我们要改写的函数头至��需�?字节 �q�里计算实际需要COPY的代码长�?因�ؓ我们不能把一条完整的指��o打断
    nCopyLen += GetOpCodeSize((PVOID)nPos); //参�?
    nPos = uSysenter + nCopyLen;
}

DbgPrint("copy code lenght:%d",nCopyLen);

pMovedSysenterCode = ExAllocatePool(NonPagedPool,20);

memcpy(uOrigSysenterHead,(PVOID)uSysenter,8);//备䆾原来8字节代码

*((ULONG*)(JmpCode+1)) = (uSysenter + nCopyLen) - ((ULONG)pMovedSysenterCode + nCopyLen)- 5;//计算跌��{地址

memcpy(pMovedSysenterCode,(PVOID)uSysenter,nCopyLen); //把原来的函数头放到新分配的内�?br> memcpy((PVOID)(pMovedSysenterCode + nCopyLen),JmpCode,5); //把蟩转代码COPY上去

*((ULONG*)(cHookCode+2)) = (ULONG)MyKiFastCallEntry; //HOOK地址

DbgPrint("Saved sysenter code:0x%08X",pMovedSysenterCode);
DbgPrint("MyKiFastCallEntry:0x%08X",MyKiFastCallEntry);

__asm{
    cli
            mov eax,cr0
    and eax,not 10000h
    mov cr0,eax
}

memcpy((PVOID)uSysenter,cHookCode,8);//把改写原来函数头

__asm{
    mov eax,cr0
            or   eax,10000h
    mov cr0,eax
    sti
}

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,PUNICODE_STRING RegistryPath)
{

DbgPrint("Welcome to sysenterhook.sys");
DriverObject->DriverUnload = OnUnload;
HookSysenter();
return STATUS_SUCCESS;
}
///////////////////////////////////////////////////////////////////////////////////////////////////
以上代码�?XP SP2中文 + RootkitUnhooker下测试通过

同理 IDT hook也可以用�q�种�Ҏ��实现,HOOK的实质是改变�E�序��程,无论在哪里改�?br>*************************************************************************************************
参�?, ��风月媄,【分享】西裤哥�?Hook Api Lib 0.2 For C

;http://bbs.pediy.com/showthread.php?p=420864

杨�{�?/a> 2009-09-04 19:40 发表评论

Tue, 07 Apr 2009 14:53:00 GMT

�ȝ��一�?

对于NASM与VC混合�~�程

在ASM文�g的开头输�?/font>

[bits 32] ;使用32位模式的处理�?/font>

[section .text] ;text�D? 代码�D?只读�q�可执行

声明代码�D��ƈ且代码段�?2�?应�ؓ对于VC生成的PE文�g�Q�其代码攑֜�.text的代码段�?/font>

�Q�数据放�?data的数据段�?所以如果要定义数据的话�Q�要�?data�D�内

{一} 在C代码中调用汇�~�程�?/font>

1..如果遵守C 调用�U�定

打比�Ҏ��们在ASM中实��C��个数相加的函�?

_myadd:

push ebp

mov ebp,esp

mov eax,[ebp+8] ;a

mov ebx,[ebp+12] ;b

add eax,ebx

add esp,4

mov esp,ebp

pop ebp

ret

在ASM的开头写上global _myadd;

在C文�g中声明函�?nbsp;extern "C" int _cdecl myadd(int a,int b);

最主要的是要在ASM的函数名�U�的前面加上一�?nbsp;_(下划�U? ,但是在C文�g中声明的函数不用加下划线,�q�且一定要加上extern "C",�q�且用_cdecl 声明�Q�这样以后就可以在C中调用ASM中的函数了�?/font>

2.如果遵守stdcall 调用�U�定

�q�用上面的那个两个数相加的例�?/font>

_myaddstdcall@8:

push ebp

mov ebp,esp

mov eax,[ebp+8] ;a

mov ebx,[ebp+12] ;b

add eax,ebx

add esp,4

mov esp,ebp

pop ebp

ret 8

在ASM文�g的开头写�?nbsp;global _myaddstdcall@8

在C文�g中声明函�?nbsp;extern "C" int _stdcall myaddstdcall(int a,int b);

�q�里要注意的是函数的名称问题,一般是_XXX@N ,也就是在开头加上一个下划线,@N中的N跟参数的大小有关�p�，目前我的理解是所有参数在堆栈中占用的�ȝ��大小.但是不确定，我只是推��的�Q�如果那位知道具体的规定一定要告我一声啊�?/font>

{二} 在汇�~�中调用C中的函数

1.遵守C调用�U�定

举个例子:

extern "C" void _cdecl myprint(int a)

{

printf("myprint %d\n",a);

}

在ASM中声�?nbsp;extern _myprint ,然后��可以用 push xxx �Q�call myprint , add esp ,4 调用�?/font>

。要注意的是call 调用完后�Q�一定要加上add esp ,X 来��^衡堆�?应�ؓC调用�U�定规定是调用者��^衡堆�?

2.遵守stdcall 调用�U�定

extern "C" void _stdcall myprintstdcall(int a)

{

printf("myprintstdcall %d\n",a);

}

在ASM中声明extern _myprintstdcall@4 ,然后用push xxx ,call _myprintstdcall@4 调动�Q�这里就不用再加add esp�Q�X了，有函数本�w��^衡堆�?

��p��些了�Q�都是个人�ȝ��Q�难免有不��与错误，�q�请大家指正.

杨�{�?/a> 2009-04-07 22:53 发表评论

VC++内联汇编(MSDN相关内容完整��译)

Sun, 21 Dec 2008 09:07:00 GMT

VC++内联汇编�Q�将MSDN里面关于内联汇编的几乎全��译了，一上午的成果啊�Q�哪��译错了�Q�告我一声啊。。�?/p>

【一�?�?__asm block中��用汇�~�语�a�

1.关键字__asm调用内联汇编语句
有三�U�方式可�?br>�Q?�Q�__asm block 形式
例子�Q?br>// asm_overview.cpp
// processor: x86
void __declspec(naked) main()
{
    // Naked functions must provide their own prolog...
    __asm {
        push ebp
        mov ebp, esp
        sub esp, __LOCAL_SIZE
    }

    // ... and epilog
    __asm {
        pop ebp
        ret
    }
}

�Q?�Q�将__asm攑֜�每句汇编指��o的开�?br>例子�Q?br>__asm push ebp
__asm mov ebp, esp
__asm sub esp, __LOCAL_SIZE

�Q?�Q�应为__asm 也是一个语句分隔符�Q�所以可以将汇编指��o攑֜�同一行上
例子�Q?br>__asm push ebp __asm mov ebp, esp __asm sub esp, __LOCAL_SIZE

2.内联汇编指��o�?br>VC++�~�译器支持Pentium 4 �?AMD Athlon的所有指令，额外的被其他目标处理器支持的指��o
能够被创造用_emit 伪指令�?br>附：_emit 伪指令说�?br>_emit伪指令的MASM的DB指��o�怼��Q�你能够使用_emit在代码段�Q�text segment�Q�的当前位置
��d��义一个字节的立即数。_emit 一�ơ只能定义一个字节，�q�且仅仅能够再代码段�Q�text segment�Q?br>内定义�?/p>

例子�Q?br>#define randasm __asm _emit 0x4A __asm _emit 0x43 __asm _emit 0x4B
.
.
.
__asm {
randasm
}

3.再内联汇�~�中的MASM表达�?br>内联汇编能够使用��M��的MASM的表辑ּ��Q�能够��M��操作数和操作码的�l�合�?/p>

4.内联汇编中的数据指��o和操�?br>��管__asm block能够引用C/C++的数据类型和对象(object)�Q�但是他不能定义数据对象用MASM的指令和操作,��其�Q�不能��?/p>

DB,DW,DD,DQ,DT,DF 或者DUP,THIS。MASM中结构体和记录类型也是不可用的，内联汇编不接受STRUC,RECORD,WIDTH,MASK操作.

5.EVEN �?ALIGN 指��o
��管内联汇编不支持大多数MASM的指令，但是支持EVEN �?ALIGN 指��o�Q�这两个指��o填充NOP在汇�~�代码中��d��其数据和指定的边�?�q�样能够

CUP的数据访问更加高�?

6.内联汇编中的MASM宏指�?br>内联汇编不支持MAsm中的宏指令（MACRO, REPT, IRC, IRP, ENDM�Q�或者宏操作�W?<>, !, &, %, .TYPE)�?/p>

7.内联汇编中的�D�引�?br>再内联汇�~�中指定一个段只能通过寄存器，而不能通过名字�Q�例如，�D�名_TEXT是不可用的）�Q�段��越必须昑ּ�的��用寄存器�Q�如ES:[BX].

8.内联汇编中的�c�d��和变量尺寔R��?br>LENGTH, SIZE �?TYPE 操作�W�有一个限定的意义再内联汇�~�中�Q�他们不能被使用和DUP一�?因�ؓ再内联汇�~�中不能使用DUP命��o),但是能够�?/p>

用他们去得到C/C++变量的尺寸和�c�d��.
*LENGTH 操作�W�返回一个数�l�的元素数目�Q�非数组变量�q�回1.
*Size 操作�W�返回C/C++变量的尺寸，一个变量的��寸是LENGTH与TYPE�怹�的结�?
*TYPE 操作�W�返回C/C++�c�d��或变量的��寸�Q�如果是一个数�l�变量返回数�l�中单个元素的TYPE.

例子�Q?br>int arr[8];
__asm                   C                        Size
LENGTH arr       sizeof(arr)/sizeof(arr[0])      8
SIZE arr         sizeof(arr)                    32
TYPE arr         sizeof(arr[0])                 4

9.内联汇编的注释问�?br>再__asm block 中可以��用汇�~�语�a�的注�?br>例子�Q?br>__asm mov ax, offset buff ; Load address of buff

【二�?再__asm block 中��用C/C++
概述�Q�应为内联汇�~�能够与C/C++语句混合使用�Q�他梦能够��用C/C++的变量通过名字,�q�有C/C++语言的其他元�?
*�W�号�Q�包括标��P��变量�Q�函数名.
*帔R��Q�包括符号常量和枚�D�Q�enum�Q?br>*宏，预处理命�?br>*注释�Q�包�?/**/�?/�Q?br>*�c�d��名称
*typedef名称�Q�一般都和PTR和TYPE一起��用或者去指定�l�构体或联合成员

1.�?__asm block 中��用操作符
�?__asm block 中不能��?C/C++�Ҏ��的操作符�Q�例�?lt;<。C/C++与汇�~�共用的操作�W�，�?�Q�是被解释�ؓ汇编操作�W��?br>举个例子来说�Q�[]操作�W�在C语言里被解释为数�l�的下标�Q?C能够自动的�{换数�l�元素的��寸,解释为首地址+单个元素的长�?�Ҏ��号内的�?
但是再__asm block中，他被看做 MASM索引操作�W?index operator),解释为首地址+�Ҏ��号中的�?
下面的实例显�C�Z��他们的不同�?br>int array[10];

__asm mov array[6], bx ; Store BX at array+6 (not scaled)

array[6] = 0; /* Store 0 at array+24 (scaled) */

能够使用TYPE操作�W�去辑ֈ�和C同样的效�?br>__asm mov array[6 * TYPE int], 0 ; Store 0 at array + 24

array[6] = 0; /* Store 0 at array + 24 */

2.使用C/C++�W�号在__asm block �?br>__asm块能够引�?C/C++在作用域中的�W�号�Q�包括变量名�Q�函数名�Q�标�?不能调用C++的成员函敎ͼ�

在��用C/C++�W�号时有一些限�?
*每条汇编语句仅仅能够包含一个C/C++的符受��在LENGTH, TYPE, �?SIZE表达式中则可以��用多个C/C++�W�号�?br>*在__asm block中函数引用必��d��声明。否则编译器不能区别在__asm block 中的标号与函数名.
*不能使用与MASM保留字相同的�W�号名称�Q�无论大��写�Q��?br>*�l�构体和联合�c�d��不能别识别在__asm block�?

3.讉K��C/C++数据在__asm block�?br>在内联汇�~�中通过名称讉K��C/C++变量是十分方便的。在__asm block中能讉K��M��在作用域中符受��?br>例如�Q�在其作用域中有一个C变量 var�Q?__asm MOV EAX,var 存储var的值在EAX中�?/p>

如果一个类�Q�结构体或者联合结构的成员是唯一的，在__asm block中引用他仅仅使用成员变量名，
而不用��用变量名或者typedef名在.操作�W�之前。如果成员名不是唯一的，无论如何�Q�必��L��|�变量名或者typedef名在.操作�W�之前�?br>例子�Q?br>// InlineAssembler_Accessing_C_asm_Blocks.cpp
// processor: x86
#include
struct first_type
{
   char *weasel;
   int same_name;
};
struct second_type
{
   int wonton;
   long same_name;
};
int main()
{
   struct first_type hal;
   struct second_type oat;
   __asm
   {
      lea ebx, hal
      mov ecx, [ebx]hal.same_name ; Must use 'hal'
      mov esi, [ebx].weasel       ; Can omit 'hal'
   }
   return 0;
}

�?__asm block中能够访问C++ 的数据成员而不用去遵守讉K��限制�Q�但是不能调用C++的成员函�?

4.使用内联汇编写函�?br>略。没啥好讲的�Q�直接看例子
int power2( int num, int power )
{
   __asm
   {
      mov eax, num    ; Get first argument
      mov ecx, power ; Get second argument
      shl eax, cl     ; EAX = EAX * ( 2 to the power of CL )
   }
   // Return with result in EAX
}

5.使用和保存寄存器在内联汇�~�中
一般来��_��不应该假讑֯�存器��会有一个指定的值在__asm blok块开始时�Q�寄存器的��g��保证在离开了一个__asm block后被保存,如果你离开

了一个asm块�ƈ开始了另一个asm块，不应该应用在上一个块中保存寄存器的倹{��An __asm block inherits whatever register values result

from the normal flow of control.
如果使用__fastcall调用�U�定�Q�编译器传递参��C��用寄存器而不是堆栈，�q�可能��生一个问题在应用了__asm block的函��C��Q�因为函数无法知

道那个参数是在寄存器中。如果一个函数接受参数在EAX中，但是�q�后别立�ȝ��来存储其他的��|��那摩�q�个原始的参数就丢失了。�ƈ且，�?/p>

__fastcall�U�定中，必须保存ECX寄存器的倹{�?br>去避免如此的寄存器冲�H�，不要使用__fastcall调用�U�定为那些包含__asm block的函�?如果使用/Gr�~�译器选项指定了全局的__fastcall�U�定

�Q�那摩定义每个包含__asm block的函数用_stdcall或__cdecl�?br>当��用__asm��d��汇编语句在C/C++中，不需要去保存EAX,EBX,ECX,EDX,ESI,EDI。在使用EBX,ESI,EDI�Ӟ��你强�q�编译器��M��存�ƈ回复�q�些寄存

器的值在函数的序�a�与结��֤�.
也应该保存��用的其他寄存器（如DS,SS,SP,BP,EFLAGS�Q�对于这个__asm block的作用域.
也应该保存ESP和EBP除非你有其他的改变他们的原因。（例如�Q�堆栈�{换）

下面�q�段不太好翻译，自己看吧�Q?br>Some SSE types require eight-byte stack alignment, forcing the compiler to emit dynamic stack-alignment code. To be able to

access both the local variables and the function parameters after the alignment, the compiler maintains two frame pointers.

If the compiler performs frame pointer omission (FPO), it will use EBP and ESP. If the compiler does not perform FPO, it will

use EBX and EBP. To ensure code runs correctly, do not modify EBX in asm code if the function requires dynamic stack

alignment as it could modify the frame pointer. Either move the eight-byte aligned types out of the function, or avoid using

EBX.
注意:如果在__asm block中改变了方向标志�Q�通过STD,CLD�Q�那摩就要保存这些标志的原始�?

6.在内联汇�~�中跌��{到指定标�?br>像一般的 C/C++标号�Q�在__asm block有函��C��用域�Q�在整个函数中可见，而不仅仅是在定义的__asm block中）,汇编指��o与goto语句都能跛_��

标号�?
定义在__asm block中的标号不是大小写敏感的�Q�goto语句与汇�~�指令能够引用整个标可��不用考虑大小写。但是C/C++代码中的标号是大��写

敏感的当使用goto语句�?使用汇编语句不用考虑大小写问�?
例子�Q?br>void func( void )
{
goto C_Dest; /* Legal: correct case */
goto c_dest; /* Error: incorrect case */

goto A_Dest; /* Legal: correct case */
goto a_dest; /* Legal: incorrect case */

   __asm
   {
      jmp C_Dest ; Legal: correct case
      jmp c_dest ; Legal: incorrect case

jmp A_Dest ; Legal: correct case
jmp a_dest ; Legal: incorrect case

a_dest: ; __asm label
}

C_Dest: /* C label */
return;
}
int main()
{
}

在__asm block中不要��用C库的函数名作为标号名�U��?br> BAD TECHNIQUE: using library function name as label
jne exit
   .
   .
   .
exit:
   ; More __asm code follows

在MASM中（$�Q�符号作为当前的地址计数�Q�current location counter�Q�。他是当前正在被�~�译的指令的标号.在__asm block 中他的主要作�?/p>

是去作�ؓ一个长的条件蟩�?
jne $+5 ; next instruction is 5 bytes long
jmp farlabel
; $+5
   .
   .
   .
farlabel:

【三�?在内联汇�~�中调用C函数
一个__asm block能够调用C函数�Q�包括C库函数。下面是调用printf的例子：
// InlineAssembler_Calling_C_Functions_in_Inline_Assembly.cpp
// processor: x86
#include

char format[] = "%s %s\n";
char hello[] = "Hello";
char world[] = "world";
int main( void )
{
   __asm
   {
      mov eax, offset world
      push eax
      mov eax, offset hello
      push eax
      mov eax, offset format
      push eax
      call printf
      //clean up the stack so that main can exit cleanly
      //use the unused register ebx to do the cleanup
      pop ebx
      pop ebx
      pop ebx
   }
}

【四�?定义__asm block作�ؓ�?br>C语言的宏提供了一个简便的方式��L��汇编代码�q�入源代码。但是那需要额外的��心因�ؓ宏被扩展��C��个单独的逻辑行上�Q�a single logical

line�Q�，��d��建无错误的宏�Q�应遵守下列规则:
*用{}包围__asm block
*放__asm 关键字在每条汇编指��o的开�?br>*使用老式的注�?/**/)代替汇编中的注释(;)和单行注�?//).

例子:
#define PORTIO __asm      \
/* Port output */         \
{                         \
   __asm mov al, 2        \
   __asm mov dx, 0xD007   \
   __asm out dx, al       \
}

一个__asm block写的宏能够带参数�Q�但是不能返回��|��因此不要使用�q�样的宏在C/C++表达式中.

【五�?内联汇编的优化问�?br>__asm block的存在会对优化��生一些媄响。首先，�~�译器不会尝试去优化__asm block中的指��o。第二，__asm block会对寄存器变量的存储�?/p>

生媄响，�~�译器会避免�ȝ��记穿��__asm block的那些寄存器会被修改的变�?

杨�{�?/a> 2008-12-21 17:07 发表评论

Mon, 03 Nov 2008 12:43:00 GMT

今天在网上看了一��关于C++虚函数表的文章，让我对C++又有了更�׃��的理解，文章链接�Q?a >http://www.51cto.com/art/200712/62673_2.htm

在这��文章中讲到了通过虚函数表讉K��U�有的虚函数的问题，问题��出在C++在虚函数表中保存了虚函数的地址�Q�而这个地址又很方便查找�?br>在每个C++对象实例的开头存储这�q�个对象的虚函数表的指针�Q�通过�q�个指针可找到虚函数表，在虚函数表中��存着虚函数指针，�q�样我们��可以骗�q�编译器讉K��U�有的虚函数了�?br>

1class base
2{
3private:
4    virtual    void f(){cout<<"base_f()"<<endl;}
5};
6class child:public base
7{
8private:
9    virtual void f(){cout<<"child_f()"<<endl;};
10    void g(){cout<<"base_g()"<<endl;}
11
12};
13void main()
14{
15    typedef void(*Fun)(void);
16    child b;
17    Fun pFun;
18    pFun = (Fun)*((int*)*(int*)(&b));
19    pFun();
20}

输出�l�果�Q�child_f();

�q�样��p��问了�U�有的虚函数了�?br>
但是�q�样只能讉K��U�有的虚函数�Q�那怎么才能讉K��L��的私有函数呢�Q�像child�cȝ��g()函数�Q�还请高人指炏V�?

杨�{�?/a> 2008-11-03 20:43 发表评论

心目中的�~�程高手

Fri, 10 Oct 2008 14:45:00 GMT

嗨~~~�Q�发�Ҏ��字，大家看看�Q�就当自勉吧。。。（努力的学习吧�Q�追赶吧�Q�学无止境啊�Q?br>
[转蝲]心目中的�~�程高手

Bill Joy, 前�QSun的首席科学家�Q�当�q�在Berkeley时主持开发了最早版本的BSD。他�q�是vi和csh的作者。当�Ӟ��Csh Programming Considered Harmful 是另一个话题乐。据说他想看看自��p��不能写个操作�pȝ��Q�就在三天里写了个自��q��Unix, 也就是BSD的前�w�。当然是传说了，但��见他的功力。另一个传说是�Q?980�q�初的时候，DARPA让BBN在Berkley Unix里加上BBN开发的TCP/IP代码。但当时�q�是研究生的B伯伯怒了�Q�拒�l�把BBNTCP/IP加入BSD�Q�因��Z��觉得BBN的TCP/IP写得不好。于是B伯伯出手了，端的是一��封喉，很快��写��Z��高性能的伯克利版TCP/IP。当时BBN和DARPA�{�了巨额合同开发TCP/IPStack�Q?谁知他们的代码还不如一个研�I�生的好。于是他们开会。只见当时B伯伯�I�个T-shirt出现在会议室(当时�I�T-shirt不象现在�Q�还是相当散漫的 �?。只见BBN问：你怎么写出来的�Q�而B伯伯�{�：��单，你读协议�Q�然后编�E�就行了。最令偶晕倒的是，B伯伯��士毕业后决定到工业界发展，于是��到了当时只有一间办公室的Sun, 然后他就把Sparc设计�?来乐。。。象�q�种软硬通吃的牛人，想不佩服都不行的说。据Bill Joy的同事说�Q�一般开会的时候B伯伯��L��拿一堆杂志�O不经心地诅R��但往往在关键之处，B伯伯发言�Q�直切要宻I��提出漂亮的构惻I��让同事们��d��崩溃。对了，他还是Java Spec和JINI的主要作者之一�?/p>

John Carmack John Carmack�Q�id Software的founder和Lead Programmer。上个月和一个搞囑�Ş的师兄聊天，他竟然不知道John Carmack, 也让偶大大地晕了一把。不�q�也许搞研究的和搞实战的多少有些隔吧。想必喜�Ƣ第一人称��击游戏的都知道J哥哥�?0�q�代初只要能在PC上搞个小动画都能让�h 惊叹一番的时候，J哥哥��推��Z��石破天惊的Castle Wolfstein, 然后再接再励�Q�doom, doomII, Quake...每次都把3-D技术推到极致。J哥哥的简历上说自��q��专长�?Exhaust 3-D technology"�Q�真是牛��Z��a�不我�ƺ的说。做J哥哥�q�样的�h是很�q�福的，因�ؓ各大囑�Ş卡厂家一有了��C�品就要向�?#8220;�q��A” �Q�不然如果他的游戏不支持哪种卡，哪种卡基本就会夭折乐。当初MS的Direct3D也得听取他的意见�Q�修改了不少API。当�Ӟ��J哥哥在结婚前十数�q�如一日地每天�~�程14��时以上�Q?也是偶们凡�h望尘莫及的。对了，J哥哥高中肆业(�Q?�Q�可以说是自学成才。不�q�呢�Q�谁要用�q�个例子来�ؓ自己学习不好辩护�Q�就大错牚w��了。那 Leonardo Da Vinci�q�是自学成才�?人是�U�生子，不能上学)。普通�h和天才还是有区别的。对了，其实偶们�?#8220;辑ֈ��?#8221;是相当不对的�Q�因为Vinci是地名，而Da Vinci��是从Vinci来的人的意思。换句话��_��Leonardo Da Vinci��是“从Vinci来的Leonardo”的意思。叫别�h“Da Vinci”��׃��知所谓乐。嗯�Q�扯�q�了�Q�打住�?/p>

David Cutler David Cutler�Q�VMS和Windows NT的首席设计师�Q�去微��Y前号�U�硅��h��牛的kernel开发员。当初他和他的手下在微��Y一周内把一个具备基本功能的bootable kernel写出来，然后��_��“who can't write an OS in a week?"�Q�也是牛气冲天的说。顺便说一句，D��L��到NT3.5�Ӟ��理1500名开发员�Q�自��p��兼做设计和编�E�，不改coder本色啊。D��L��天生�?气火爆，和�h争论时喜�Ƣ双手猛��L��子以壮声�ѝ�?-) 日常交谈F-word不离口。他面试�U�书时必问："what do you think of the word '****'?" �Q�让无数��女刹羽而归。终于有一天，一个同��L��爆的女面对这个问题脱口而出�Q?That's my favorite word"。于是她被录取乐�Q��ؓD��L��工作到NT3.5发布�?/p>

Donald E. Knuth Don Knuth。高��L��其实用不着偶多说。学�~�程的不知道他就好像学物理的不知道牛��，学数学的不知道欧拉，学音乐的不知道莫扎特�Q�学Delphi的不知到 Anders Hejlsberg�Q�或者学Linux不知道Linus Torvalds一��P��不可原谅啊�?-)��Z��让文章完��_��再�|�唆几句吧。高��L��本科时就开始给行行色色的公司写各种�E�奇古怪的�~�译器挣外快了。他卖给别�h时收一两千��元�Q�那些公司拿了code�Q�加工一下卖出去��是上万上十万。不�q�也没见高爷爷不爽过�Q�学者本色的说。想想那可是60�q�代初啊�Q?高爷爷写�~�译器写多了�Q�顺带就搞出了个Attribute Grammar和LR(k)�Q�大大地造福后�h啊。至于高��L��在CalTech的编�E�比�?有Alan Kay得众多高高手参加)��L��W�一�Q�写的Tex�?6�q�就code freeze�Q�还附带2^n��分奖励�{�等都是耳熟能详�Q�偶��׃��饶舌乐。顺便说一下，高老大��h��无可争议的写作高手。他�l�Concrete Mathematics 写的前言可谓字字铉K��Q�堪为前�a�的典范。他的技术文章也是一�l�，文风�l�致�Q�解释精当，而且没有学究气，不失��d��跌��。记得几�q�前读Concrete Mathematics�Q�时不时开怀大笑�Q�让老妈极其郁闷�Q�觉得我nerdy到家�Q�不可救药。其实呢�Q�子非鱼�Q�安知鱼之乐�Q�更不知那完全是高爷��L��功劳�?说到写作高手�Q�不能不提Stephen A. Cook。他的文章当�q�就被我们的写作老师极力推荐�Q�号�U�典雅文风的��h��。库��L��一头银发，�w�材颀长，��L��面带谦和的微�W�，颇有仙风道骨�Q�正好和他的仙文盔R��的说。高��L��其实�q�是开源运动的先驱。虽然他没有象Richard Stallman那样八方奔走�Q�但他捐献了好多作品�Q�都可以在网上看刎ͼ�比如著名的Mathematical Writing�Q�MMIXWare�Q�The Tex Book�{�，更不用说��以让他��芳百世的Tex乐�?/p>

Ken Thompson Ken Thompson�Q�C语言前��nB语言的作者，Unix的发明�h之一(另一个是Dennis M. Riche老大�Q�被��ؓDMR)�Q�Belle(一个厉害的国际象棋�E�序)的作者之一, 操作�pȝ��Plan 9的主要作�?另一个是大牛人Rob Pike, 前不久被google挖走�?。Ken��L��也算是计��机历史上开天辟地的人物了�?969�q�还是计��机史前时代�Q�普通�h都认为只有大型机才能�q�行通用的操作系�l�，��型机只有高�׃Ԓ止的份儿。至于用高��语言来写操作�pȝ��Q�更是笑谈。Ken��L��自然不是池中�?�Q�于是他和DMR怒了�Q�在1969�q�到1970间用汇编在PDP-7上写��Z��UNIX的第一个版本。他们�ƈ不知道，一��轰烈烈的UNIX传奇由此拉开�?序幕。Ken��L��?971�q�又把Unix用C重写�Q�于是C在随�?0�q�成��׃��不知多少豪杰的梦惛_��光荣。Ken��L��q�有�D�佳话：装了UNIX的PDP-11最早被安装在Bell Lab里供大家日常使用。很快大家就发现Ken��L��总能�q�入他们的帐��P��获得最高权限。Bell Lab里的�U�学安��心比天高�Q�当然被搞得郁闷无比。于是有高手怒了�Q�蟩出来分析了UNIX代码�Q�找到后门，修改代码�Q�然后重新编译了整个UNIX。就在大安��以�ؓ“�q�个世界清净�?#8221;的时候，他们发现Ken��L��q�是轻而易丑֜�拿到他们的帐��h��限，百思不解后 �Q�只好��l�郁闗��谁知道�q�一郁闷�Q�就郁闷�?4�q�_��直到Ken��L��道出个中�~�由。原来，代码里的��有后门�Q�但后门不在Unix代码里，而在�~�译Unix�?码的C�~�译器里。每�ơC�~�译器编译UNIX的代码，��p��动生成后门代码。而整个Bell Lab的�h�Q�都是用Ken��L��的C�~�译器�?/p>

Rob Pike Rob Pike, AT&T Bell Lab前Member of Technical Staff �Q�现在google研究操作�pȝ��。罗伯伯是Unix的先驱，是贝��实验室最早和Ken Thompson以及Dennis M. Ritche开发Unix的猛人，UTF-8的设计�h。他�q�在��国名嘴David Letterman的晚间节目上露了一��脸�Q�一脸憨厚地帮一胖子吹牛搞怪。让偶佩服不已的是，�|�伯伯还�?980�q�奥�q�会��箭的银牌得丅R��他也是个颇为厉害的业余天文学家�Q�设计的珈玛��线望远镜差点被NASA用在航天飞机上。他�q�是两本�l�典�Q�The Unix Programming Environment �?The Practice of Programming 的作者之一。如果初学者想在编�E�方面精益求�_�，实在该好好读读这两本书。它们都有中文版的说。罗伯伯�q�写��Z��Unix下第一个基于位囄��H�口�pȝ��Q��ƈ且是著名的blit �l�端的作者。当然了�Q�罗伯伯�q�是��L��锐意革新的操作系�l�，Plan9�Q�的主要作者。可惜的是，Plan9�q�没有引起多��h的注意。罗伯伯一怒之下，写出�?振聋发聩的雄�?Systems Software Research is Irrelevant�Q�痛斥当下系�l�开发不思进取，固步自封的弊病。虽然这��文章是�|�伯伯含忿出手，颇有偏激之词�Q�但��实道出了系�l�开发的无奈�Q�开发周�?��来��长�Q�代仯��来越大，用户被统一到少数几个系�l�上�Q�结果越来越多的�z�d��是测量和修补�Q�而真正的革新 ��来��少。就在罗伯伯郁闷之极的时候，google登门求贤来乐。如果说现在�q�有一家大众公司在不遗余力地把�pȝ��开发推向极致的话，也就是google 乐。随便看看google的成果就知道了。具有超强容错和负蝲�q��能力的分布式文�g�pȝ��GFS (现在能够�?00,000台廉价PC搭�v一个巨型分布系�l�，�q�且高效便宜地进行管理的�pȝ��也不多哈)�Q�大规模机器学习�pȝ��(拼写��查，�q�告匚w��Q�拼��x�� 寅R��。。哪个都很牛的说)�Q�更不用说处理�v量�ƈ行计��的各式google服务了。Rob在System Software Research is Irrelevant里萧瑟地说现在没有�h再关心系�l�研�I�的前沿成果了。想不到他错了，因�ؓgoogle兛_��。google�|�络了大批功成名��q��牛�h�Q�还有大量初生牛犊般博士做开发，昄��不是没事耍酷�Q�而是因�ؓ它们的开发��L��试图吸取�pȝ��研究的最新成果�?惛_��Rob Pike在google很幸��。愿他做出更��的�pȝ��?/p>

Dennis M. Ritchie 既然Ken Thompson是我的偶像，新闻�l�上人称DMR的Dennis M. Ritchie自然也是�Q�毕竟两人共同缔造了UNIX�Q�而Dennis几乎独力把C搞大(当然�Q�C的前�w�是B�Q�而B是Ken Thompson一手做出来�?。J 两�h1983�q�分享图灵奖�Q�是有史以来��数几个因工�E�项目得奖的工程�?本来是唯一的一对儿�Q�但Alan Kay才因为SmallTalk得奖�Q�所以就成了唯二的乐) 。一个�h一生能做出一个卓��的�pȝ��已经不易�Q�DMR的C和UNIX长盛不衰�q?0�q�_��至今生机勃勃�Q�DMR此生可以无憾的说。D��L��也算有家学渊源：他�?爸在AT&T贝尔实验室工作了一辈子�Q��ƈ在电路设计方面卓有成��，�q�出了本颇有影响的书The Design of Switching Circuits�Q�据说在交换理论和逻辑设计斚w��有独到的��。当�Ӟ��D��L��和他老爸是不同时代的人：他老爸的研�I�成形于晶体��发明之前，而D��L��的工�?��M��晶体��就玩儿不�{乐�?-D不要看D��L��搞出了C�Q�其实他最��q��~�程语言是Alef�Q�在Plan9上运行，支持�q�行�~�程。Alef的语法和C�怼��Q�但数据�c�d��和执行方式都和C大大不同。说到语�a��Q�D��L��对后来�h有非�怸�肯的��Q�抱着学习的目的来开发你自己的语�a��Q�不要冀望于它被众�h接受。这个徏议不光对语言开发有用，也适用于其它大型系�l�的开发。别的不��_��DMR后来领导自己的团队在1995�q�和1996分别推出了Plan9�?Inferno操作�pȝ��Q�又用多��h知道呢？其实�Q�D��L��当初也没惌��C会风行世界。他开发C的初衷和 Eric S. Raymond在Cathedral and Bazaar里阐�q�的一��P��是要消除自己对现有工具的不爽之处。谁知D��L��无心插柳�Q�C竟然受到众多�E�序员的狂热拥戴�Q�连D��L��自己都大惑不解。在一��?采访中D��L��说大概那是因为C的抽象程度碰巧既满��了程序员的要�? 又容易实现。当然C一度是Unix上的通用语言也是原因。但不管怎么��_��D��L��对编�E�语�a��的审��意识奠定了C�q��ؓ��传的基��。最后八卦一下。D��L��?业余爱好和NBA大牛Karl Malone一��P��开卡�R。不�q�D��L��更喜�Ƣ开NASCAR�Q�而KM独爱巨无霸。J D��L��自称心中不供偶像�Q�如果一定要说一个，那就是Ken Thompson了。现在Ken��L��退休当飞机教练��M��Q�而D��L��当了贝尔实验室系�l�开发部的头�Q�整日忙于开支票。他俩合�?0�q�_��屡屡创造历双Ӏ�这�D��o 人神往的佳话，也就长留你我心中乐。P.S., 很多人都以�ؓBrian W. Kernighan是C的作者。其实BWK只是写了那本�l�典K&R C。据D��L��_��他，Ken, 和Kernighan三�h中，Kernighan最能写文章�Q�他�ơ之�Q�而Ken写得最��；但说到编�E�，Ken��L��才是当之无愧的老大�?/p>

Edsger Wybe Dijkstra 对，��是E.W. Dijkstra. 一提到EWD�Q�很多�h��׃��惌��v找最短�\径的Dijkstra Algorithm�Q�就好像一提到Sir. Tony Hoare�Q�就惌��vQuick Sort一栗��其实这些个��法不过是两个牛人在他们职业生��中最琐碎的�A献。比如Dijkstra��法�Q�无非是戴爷爷在1956�q��ؓ了展�C�新计算�?ARMAC的计��能力，初试�w�手的成果，属于他的��法处女作。据戴爷爯��q�ͼ�他搞出最短�\径算法的时候连�U�笔都没用。当时他和他老婆在阿姆斯特丹一家咖啡厅的阳��C��晒太阛_��咖啡�Q�突然就把这个算法想出来乐。而且当时的算法研�I�还比较原始�Q�牛��Z��忙着用计��机搞数 ��D��，对离散算法不屑一��。那时连一个象��L��专注于离散算法的专业期刊都没有。戴��L��于是推迟发表�q?个算法。直�?959�q�_��他才把这个算法发表在Numerische Mathematik的创刊号上，权�ؓ捧场�?-) EWD在多个领域牛气冲天，端的是理论和�~�程两手��的高手。只不过他的很多工作比较深刻�Q�学校的老先生们觉得本科生接受不了，不给本科生讲而已。戴��L��?概因为最短�\径算法一战成名，于是有�h请他参加另一台计��机X1的设计工作，�q�且把设计实时中断系�l�的 ��d��z��了他。现在看来实时中断也�怸��什么，但要知到�Q�X1前根本就没有实时中断的概��c��实现它��直就是一��赌。戴��L��起初�q�不情愿�Q�但�l�不住项目负责�hBram和Carel的轮�?#8220;�Ҏ��”�Q�我们知道实时中断让您工作变得非常困难，但象您这��L��牛�h�?定能做出来的说。结果戴��L��被糖衣炮弹彻底击�I�，接下了这个烫手山芋。两三年后，他不仅搞��Z��实时中断�Q�还围绕�q�个写出了自��q��博士论文�Q�顺利戴上博�?帽。让戴爷��L��正成名立万的�q�是在X1上开发的Algo60�Q�最早的高��语言之一。戴��L��没日没夜地工�?�?个月�Q�就搞出了Algo60�Q�也因此获得�?972�q�的囄��奖。因为Algo60�Q�戴��L��发表了一��石破天惊的文章�Q�Recursive Programming�Q�于是�h们才知道�Q�原来高�U�语�a�也可以高效地实现递归�Q�原来从此以后，所有程序员都不可避免地和戴��L��发明的一个词(应该说是�?�?打交道：堆栈。而且Algo60�q�让戴爷��h��入地思考多道程序设计的问题�Q�最�l�发明了每个�pȝ��E�序�?都绕不开的概念：semaphore。当�Ӟ��戴爷��h��L��把他发明的概念严格�Ş式化�Q�极��L��学家本色的说。和�q�些成就��x��Q�他提出的吃饭的哲学安��题，也就没什么好说的了。说来好�W�，当时的大�?忘了哪所�?�q�是觉得戴爷��h��有受�q�正�l�的数学训练�Q�也不是�?门搞数值分析的�Q�所以最后不太情愿地�l�了他一个教职。这�U�小挫折�q�不能妨��象戴爷爯��L��牛�h创造历双Ӏ�他一�Ҏ��数值分�?:-D) �Q�一边开始开发一个新的操作系�l�，�q�培养计��机�U�学家。几�q�后�Q�THE Multiprogramming System横空��Z��。THE是第一个支持松散耦合�Q�显式同步的�q�程�q�由此��得严��D��明系�l�没有死锁变得容易的操作�pȝ��。可惜戴��L��任职的系不识货，�q�强行解散了他的研究��组(1972�q�戴��L��l�他的系��M�Q说他得了囄��奖，�p�M��ȝ��W�一反应是你们搞计算�?��喜�Ƣ�ؕ发奖)。这让戴��L��相当郁闷�Q�得了抑郁症。在极度郁闷之中�Q�戴��L��军_��用写作来�ȝ��自己的抑郁症。于是经典就诞生乐：Notes on Structured Programming。戴��L��从此被尊为结构化�~�程的奠��Z�h�Q�而且他的抑郁症也被治好乐。EWD太牛�Q�结果他的故事也太多。先到这里吧�?973��P��?的故事就在美国发生了�?/p>

Anders Hejlsberg�Q�微�?NET的首席架构师�Q�编�E�语�a�设计和实现的��尖高手。他一手做��Z��Turbo Pascal, 也是Delphi,J++(��其是WFC)�Q�C#,�?NET的主要作者。这些作品的名字��以��Z��立传。作��Z��个程序员�Q�我在这��L��大师面前实在无语。生子当如Anders的说。李�l�的<>里已详细讲述了Anders的传奇故事，我就不用费舌了：

杨�{�?/a> 2008-10-10 22:45 发表评论

Tue, 07 Oct 2008 09:22:00 GMT

摘要: 关于从保护模式切换到实模式的相关说明参考于渊的《自己动手写操作�pȝ��》第三章中从实模式切换到保护模式�Q�最后有重新切回实模式的代码�Q�代码如下）�Q�其中有几点不太明白的，参考其他文章之后在此记录一下�?其中�q�有不太明白的地方，希望大家能在下面留个�a�帮我讲明白，谢谢。下面代码有些宏定义没脓出来�Q�应该能看明白�? 1; ===... 阅读全文

杨�{�?/a> 2008-10-07 17:22 发表评论

Thu, 18 Sep 2008 09:27:00 GMT

摘要: 高度优先左高树与堆的性质�c�M��Q�都可有作�ؓ优先�U�队列的底层�l�构。但应用高度优先左高树可以很�Ҏ��的实��C��个优先��队列的合�q�操作�? 1//高度优先左高�?HBLT)实现 2#ifndef HBLT_H 3#define HBLT_H 4#include &n... 阅读全文

杨�{�?/a> 2008-09-18 17:27 发表评论

国产视频欧美视频,久久人人超碰,亚洲欧美国产制服动漫

安全密码框的设计

VC++内联汇编(MSDN相关内容完整���译)

心目中的�~�程高手

VC++内联汇编(MSDN相关内容完整��译)