历时一个月终于写完了自己第一个算是比较大的项目了，历经无数次重启，调试，od，windbg。。。基于TDI和NDIS中间层驱动开发的天眼防火墙，功能很简单。呵呵不算上驱动有6000行吧，纯sdk加内嵌汇编写的。比较臃肿，因为是学习版，所以尽可能锻炼自己的编程能力。例如光存放记录有到了普通的文件存放和检索，access数据库存放和检索，注册表存放和检索。。。 并且将TDI驱动和N

真不爽，遇到这个错误搞了好几天，先是在windbg上看了这个错误的说明：说是在dispatch或者之上的级别上调用了分页内存导致的地址不可访问的错误 我要调用的函数是驱动开发书上的例子：#pragma PAGEDCODEVOID  WriteFileTest(IN PDEVICE_OBJECT DeviceObject) { DbgPrint(("writefile/n" )); 

先选择一个虚拟机快照的分析开始点，这个点要把握好，堆的布局基本定了，不再改变然后直接运行poc，在崩溃地方，下这个断点Flash11e+0x5261c0:022> u Flash11e+0x5261cFlash11e+0x5261c:053c261c 8bb614050000    mov     esi,dword ptr +0x513 (00000514)[es

大家都知道在进行漏洞分析时，对于内存破坏或者其他很难定位类型的漏洞分析中，一个很难解决的就是数据的逆向溯源，等找到源头之后，大都就知道漏洞触发的原因了 可以用虚拟机快照来解决这个问题，发现无论是r3下面的漏洞分析还是内核的漏洞，都非常给力啊 在分析的开始，就保存一个虚拟机快照，每次重新分析时，就直接恢复快照，因为知道了 堆的地址，可以直接下堆的访问断点等，就算当前