摘要：/*判断是否是x64进程 参 数:进程句柄 返回值:是x64进程返回TRUE,否则返回FALSE */ BOOL IsWow64ProcessEx(HANDLE hProcess) { /*判断ntdll中的导出函数,可知是否是64位OS*/ HMODULE hMod=GetModuleHa... 阅读全文

摘要：没有代码,仅提供方法思路 1,枚举所有线程获得其入口地址 2,获取EXE文件入口点 注:一般取得PE文件基址+入口点偏移即为入口地址,不过Win7中加载EXE的基会变化,需先获得进程的EXE模块基址+入口点偏移才=入口地址 3,判断线程入口地址与进程入口点是否相等 则为主线程 .......... 阅读全文

摘要：#include "windows.h" #include "stdio.h" #include "winbase.h" HANDLE hEvent=NULL; DWORD WINAPI TestFun(LPVOID lpParam) { ::WaitForSingleObject(hEve... 阅读全文

摘要：跟了一个晚上,终于解决了 大概要实现的是用这个函数替换ntdll中的KiUserExceptionDispatcher,实现方法如下: VOID NTAPI KiUserExceptionDispatcher(PEXCEPTION_RECORD pExcptRec,PCONTEXT pConte... 阅读全文