磁盘分析 本机的系统盘是C盘,操作系统是Windows 7 专业版,通过磁盘属性可以看到C盘的已用空间是69.4G. 而我们运行自己编写的脚本(脚本程序参考附录,统计原理:计算目录下各个文件的大小,然后相加,即为该目录的大小:再将各个目录占用空间相加,即为总的占用空间),可以发现,占用空间为59G. 计算机的"文件夹选项"中"显示隐藏的文件.文件夹和驱动器"选项开关也是打开的. 因此,极有可能是存在某些系统级别的隐藏文件,脚本在统计磁盘占用空间时,没有把这些文件统计…

参考:<Windows内核情景分析> 0x01  ObReferenceObjectByHandle 这个函数从句柄得到对应的内核对象,并递增其引用计数. NTSTATUS ObReferenceObjectByHandle( IN HANDLE Handle, IN ACCESS_MASK DesiredAccess, IN POBJECT_TYPE ObjectType,IN KPROCESSOR_MODE AccessMode, OUT PVOID* Object, OUT POBJEC…

记一次深度系统安装至windows系统盘提示挂载为只读模式问题 来到新公司新电脑自己要安装deepin,安装的时候没考虑双系统直接装至默认win系统盘,导致deepin启动后提示如下: 提示多个挂载分区为只读模式. 解决方案如下: 1.执行 df -h 命令,以可读性较好的方式显示文件系统信息,由此而查看具体是哪个分区为只读模式. 我这里提示是如上图的 sda5. sda6.sda7 三个. 2.依次执行 sudo ntfsfix /dev/sda5 . sudo ntfsfix /dev/sd…

本文说明:这一系列文章(笔记)是在看雪里面下载word文档,现转帖出来,希望更多的人能看到并分享,感谢原作者的分享精神. 说明 本文结合<Windows内核情景分析>(毛德操著).<软件调试>(张银奎著).<Windows核心编程>.<寒江独钓-Windows内核安全编程>.<Windows PE权威指南>.<C++反汇编与逆向分析揭秘>以及ReactOS操作系统 (V0.3.12)源码,以<Windows内核情景分析>为…

  Windows系统内存分析工具的介绍(进程管理器,资源管理器,性能监视器, VMMap, RamMap,PoolMon) 微软官方提供多种工具来分析Windows 的内存使用情况,除了系统自带的任务管理器(Task Manager), 资源监视器(Resource Manager), 性能监视器(Performance Monitor), 还有SysInternals工具,  RamMap, PoolMon用以分析内存问题.本文简单介绍上述工具的快速使用方法,如果需要了解深入了解,请参考微软…

windows内核情景分析之—— KeRaiseIrql函数与KeLowerIrql()函数 1.KeRaiseIrql函数 这个 KeRaiseIrql() 只是简单地调用 hal 模块的 KfRaiseIrql() 函数,返回原来的 IRQL 写入 KeRaiseIrql() 的第 2 个参数里,将它写回 C 代码如下: VOID KeRaiseIrql(KIRQL NewIrql, PKIRQL OldIrql) { KIRQL Irql = KfRaiseIrql(NewIrql); *…

文件系统 一台机器上可以安装很多物理介质来存放资料(如磁盘.光盘.软盘.U盘等).各种物理介质千差万别,都配备有各自的驱动程序,为了统一地访问这些物理介质,windows设计了文件系统机制.应用程序要访问存储在那些物理介质上的资料时,无需直接访问,只需借助文件系统即可对其有效访问.各种物理介质的存储方式千差万别,文件系统则按照'文件'的概念,把要存储的资料以文件为单位进行存放,然后,读取的时候也以文件为单位进行读取.当应用程序要访问资料时,只需指明'文件名+文件内偏移',文件系统自然就能找到实际…

一.利用Windows自带的防火墙日志检测入侵 下面是一条防火墙日志记录 2005-01-1300:35:04OPENTCP61.145.129.13364.233.189.104495980 2005-01-1300:35:04:表示记录的日期时间 OPEN:表示打开连接:如果此处为Close表示关闭连接 TCP:表示使用的协议是Tcp 61.145.129.133:表示本地的IP 64.233.189.104:表示远程的IP 4959:表示本地的端口 80:表示远程的端口.注:如果此处的端口…

转载 http://www.cnblogs./junzhongxu/archive/2011/02/15/1954889.html 监测对象 Ø System(系统) l %Total Processor Time 系统中所有处理器都处于繁忙状态的时间百分比,对于多处理器系统来说,该值可以反映所有处理器的平均繁忙状态,该值为100%,如果有一半的处理器为繁忙状态,该值为50%服务器.器消耗的处理器时间数量.如果服务器专用于sql server可接受的最大上限是80% -85 %.也就是常见的CP…

Windows系统是支持多用户的.每个文件可以设置一个访问控制表(即ACL),在ACL中规定每个用户.每个组对该文件的访问权限.不过,只有Ntfs文件系统中的文件才支持ACL. (Ntfs文件系统中,每个文件的ACL是作为文件的一个附加属性保存在文件中的). 不仅ntfs文件支持ACL机制,每个内核对象也支持ACL,不过内核对象的ACL保存在对象头部的安全属性字段中,只存在于内存,对象一销毁,ACL就跟着销毁.因此,内核对象的ACL是临时的,文件的ACL则是永久保存在磁盘上的.文件的ACL由文件…