摘要：完整文件 http://files.cnblogs.com/Files/Gotogoo/在PE最后一节中插入补丁程序.zip 在PE文件最后一节中插入补丁程序，是最简单也是最有效的一种，因为PE最后一节的数据在文件的末尾，将代码加到最后一节时，不需要修改太多的内容。 最近在学习python，没时间详 阅读全文

摘要：昨天同学接到了腾讯的电面，有一题问到了CreateProcess创建进程的具体实现过程，他答得不怎么好吧应该是， 为了以防万一，也为了深入学习一下，今天我翻阅了好多资料，整理了一下，写篇博客，也算是加深理解吧 1.函数原型： BOOL WINAPI CreateProcessW( LPCWSTR l 阅读全文

摘要：完整工程：http://files.cnblogs.com/files/Gotogoo/%E8%BF%9B%E7%A8%8B%E7%AE%A1%E7%90%86%E5%99%A8%28x86%26%26x64%29.zip PEB（Process Environment Block，进程环境块）存放 阅读全文

摘要：上面说过了隐藏进程，这篇博客我们就简单描述一下暴力搜索进程。 一个进程要运行，必然会加载到内存中，断链隐藏进程只是把EPROCESS从链表上摘除了，但它还是驻留在内存中的。这样我们就有了找到它的方法。 在内核中，传入进程ID，通过ZwOpenProcess得到句柄，再传入句柄，通过ObReferen 阅读全文

摘要：以前一直没有写博客的习惯，因为总觉得时间不够用，只是盲目的去学习，再学习。 最近到了实习生招聘的时间，在写简历的时候，静下心来好好想了想以前学过的，ASM，C++，MFC，PE文件，网络通信，Anti-Rootkit，Windows内核开发等等 发现自己以前学的好多东西都忘的差不多了，或者说是一知半 阅读全文

摘要：首先，我们知道，进程体EPROCESS是被系统维护在一个双向链表LIST_ENTRY中的，那么，我们只要把进程的EPROCESS从这个链表中摘除，就可以实现进程隐藏了，当然，这只能瞒过进程管理器和zwQuerySystemInformation，暴力枚举依旧可以发现断链隐藏的进程，因为进程体还在内存 阅读全文

摘要：1.什么是TSS TSS全称Task State Segment ，是操作系统在进行进程切换时保存进程现场信息的段 2.TSS什么时候用，有什么用 TSS在任务（进程）切换时起着重要的作用，通过它保存CPU中各寄存器的值，实现任务的挂起和恢复。 比如说，当CPU执行A进程的时间片用完，要切换到B进程 阅读全文