processhacker-code-5632\1.x\trunk\NProcessHacker\hook.htypedef
struct _PH_HOOK{ PVOID Function; PVOID Target; BOOLEAN Hooked; CHAR Bytes[5...
分类:
其他好文 时间:
2014-06-12 18:11:47
阅读次数:
216
用户态用户态有四类组件,这四类组件都是以进程形式存在的,也就是说,它们都有自己的进程地址空间(其实就是一套页表)。1. System Support
Processes这些是固化的进程,也就是说是操作系统结合在一起的进程。比如logon process(winlogon.exe),Session m...
一、Windows内存架构简介 在用户态(user
mode)中运行的进程通常会使用一个或多个堆托管器。最常见的堆管理器就是Windows堆管理器(windowsheap
manager)。另一个常见的堆管理器就是CLR堆管理器,它是在.Net应用程序中使用。 Windows堆管理器负责满足...
分类:
其他好文 时间:
2014-06-12 10:00:29
阅读次数:
281
转载地址:http://blog.csdn.net/wh_19910525/article/details/8287202Wake
Lock是一种锁的机制,只要有人拿着这个锁,系统就无法进入休眠, 可以被用户态程序和内核获得. 这个锁可以是有超时的 或者 是没有超时的,
超时的锁会在时间过去以后自动...
分类:
移动开发 时间:
2014-06-11 23:52:15
阅读次数:
527
brk(addr)直接修改堆的大小。addr指定current->mm->brk的新值,返回值是线性区新的结束地址,这是一个系统调用。当用户态的进程调用brk()系统调用时,内核执行sys_brk(addr)函数。下面分析这个函数的执行流程:
1:检测addr参数是否位于进程代码段所在的线性区,如果是直接返回,因为堆不能与进程代码段所在的线性区重合。
mm=current->mm;
down_...
分类:
其他好文 时间:
2014-06-10 11:06:20
阅读次数:
284
Blktrace简介Blktrace是一个用户态的工具,用来收集磁盘IO信息中当IO进行到块设备层(block层,所以叫blk
trace)时的详细信息(如IO请求提交,入队,合并,完成等等一些列的信息)。块设备层处于下图(借用褚霸的图)中的“block
layer”Blktrace工作原理(1)b...
分类:
其他好文 时间:
2014-06-05 20:47:49
阅读次数:
460
http://blog.chinaunix.net/cp.php?ac=blog中断:是为了设备与CPU之间的通信。典型的有如服务请求,任务完成提醒等。比如我们熟知的时钟中断,硬盘读写服务请求中断。中断的发生与系统处在用户态还是在内核态无关,只决定于EFLAGS寄存器的一个标志位。我们熟悉的sti,...
分类:
其他好文 时间:
2014-06-04 15:21:14
阅读次数:
306
