今天碰巧一个驱动用到些东西。翻下DDK，找了几个函数。。

PHYSICAL_ADDRESS
MmGetPhysicalAddress(
    IN PVOID BaseAddress
    );

NTKERNELAPI
NTSTATUS
MmMarkPhysicalMemoryAsGood (
    __in PPHYSICAL_ADDRESS StartAddress,
    __inout PLARGE_INTEGER NumberOfBytes
    );

PVOID
MmMapIoS

整整花了一个星期，打算不做了， 没时间，要考试，所以把最简单的版本发出来。一些SHELL问题没很好的处理，懒的写DLL PATCH进程的SHXXX处理，该版本没有针对 写文件和覆盖文件的处理

你可以打开cmd, 然后 start 命令来启动进程，这样创建的进程就会受到YASVPS的限制

附上一个头文件。。定义了相关的数据结构

#pragma once

// ucReseaon :
//
// Ba

YasVps创建的文件，用explorer删除文件老失败。。跟踪发现，删除文件，复制文件，移动文件等。都用SHFileOperation
让我奇怪的是它确定文件是否存在竟然不是 OpenFile, bp SHFileOperation,跟一下。

SHFileOperation(&lpsh);
SHELL32!MoveCopyDriver
SHELL32!DTBuild
SHELL32!DTPathToDTNode
FindFirstFileExW

它确定文件存在不是OPENFILE，而是用 FindFirstFileExW
RtlDosPathNameToNtPathName_U ， 取得目录和 文件名。
Nt

程序崩溃了，用yastr.dll定位问题问题。看看是堆被破坏了，还是栈被破坏了，还是其他异常问题。所以yastr.dll接管了目标应用程序的异常处理。

使用，用一个loader把yastr.dll注入到目标进程就可以。。。dbgview看输出信息。。
可以获取到的信息
线程的CONTEXT, 调用栈， SEH处理，栈的开始和结束。
进程堆得信息。

yastr.dll会替换掉异常处理函数，所以程序出错时会获得通知。

下图是下

YYY。。溢出懂点点。有问题还指正。。

   我们要知道，EIP指向的是可执行节，否则我们可以认为这是一次恶意攻击。SHELLCODE一般是会调用一些系统调用的

，我们可以从这里入手来检测。
栈回溯： 通过HOOK常见的API，判断其返回地址来判断。
           缺点： 一些API没HOOK（没HOOK W版本，或者漏了NTDLL.DLL)，伪造EBP。
这里我们提出一种办法来检测。

最近想做IE保护程序（防网马和溢出）， 沙盘，键盘记录防护，屏幕防护。。这些都是在可控制范围内，每一个项目至少需要15左右的时间，却发现没时间，大四的课还是挺多的，每天都得上课，完了之后根本没时间写代码，而且自己又喜欢学习新的东西，于是很多东西都基本没做，烦。。今天翻了下电脑，发现很多的资料，我都不知道里面是什么，是什么时候下载的，会不会看到，真晕。。自从大二开始学习编程到现在。基本每天都有在坚持。。直到现在，发现太多的东西还是没能掌握，每次去图书馆，看到那么多书，总

今天写了一半的程序，写不下去了，目前缓冲区溢出还是比较热门的，说到底是程序写代码没安全意识造成。在处理字符串上或者数组，整数上，造成了栈溢出，堆溢出或者整数溢出。当然有时候还有逻辑上的问题。下面的代码主要是想搜索PE文件中的不安全函数，来帮助发现程序中是否有不安全的函数存在。 这实现了对STRNCPY的例子。还不是很完善，没时间写了。

#include "windows.h"
#include <stdio.h>

//
//一般是可执行节，我们不能仅根据 .TEXT / .CODE来确定。
//

先来个简单的。 另外。。。MARK下 FILE_OPEN_BY_FILE_ID

HANDLE hC;