LyShark

摘要： 注册表是Windows中的一个重要的数据库，用于存储系统和应用程序的设置信息，注册表是一个巨大的树形结构，无论在应用层还是内核层操作注册表都有独立的API函数可以使用，而在内核中读写注册表则需要使用内核装用API函数，如下将依次介绍并封装一些案例，实现对注册表的创建，删除，更新，查询等操作。在Windows内核中，注册表是一种存储系统配置信息的机制，包括应用程序、硬件、驱动程序和操作系统的各种设置。内核提供了一些API函数，可以让驱动程序通过代码访问和修改注册表，以实现系统的配置和管理。下面简单介绍一下内核中的注册表增删改查操作： 阅读全文

摘要： 在应用层下的文件操作只需要调用微软应用层下的`API`函数及`C库`标准函数即可，而如果在内核中读写文件则应用层的API显然是无法被使用的，内核层需要使用内核专有API，某些应用层下的API只需要增加Zw开头即可在内核中使用，例如本章要讲解的文件与目录操作相关函数，多数ARK反内核工具都具有对文件的管理功能，实现对文件或目录的基本操作功能也是非常有必要的。 阅读全文

摘要： 在编程中，针对磁盘与目录的操作也是非常重要的，本章将重点介绍如何实现针对文件目录与磁盘的操作方法，其中包括了删除文件，文件拷贝，文件读写，目录遍历输出，遍历磁盘容量信息，磁盘格式化，输出分区表数据，监控目录变化等。 阅读全文

摘要： MAC地址（Media Access Control address），又称为物理地址或硬件地址，是网络适配器（网卡）在制造时被分配的全球唯一的48位地址。这个地址是数据链路层（OSI模型的第二层）的一部分，用于在局域网（LAN）中唯一标识网络设备。获取网卡地址主要用于网络标识和身份验证的目的。MAC地址是一个唯一的硬件地址，通常由网卡的制造商在制造过程中分配。通过获取MAC地址可以判断当前主机的唯一性可以与IP地址绑定并实现网络准入控制。在Windows平台下获取MAC地址的方式有很多，获取MAC地址的常见方式包括使用操作系统提供的网络API（如Windows的GetAdaptersAddresses和GetAdaptersInfo），NetBIOS API，系统命令（如ipconfig /all），ARP缓存表查询，第三方库（如WinPcap或Libpcap），以及在编程语言中使用网络库。 阅读全文