摘要： Windows内核-7-IRP和派遣函数 IRP以及派遣函数是Windows中非常重要的概念。IRP 是I/O Request Pocket的简称，意思是I/O操作的请求包，Windows中所有User和Kernel之间的交流都会被封装成一个IRP结构体，然后不同的IRP会被派遣到不同的派遣函数里面 阅读全文

摘要： Windows内核基础知识-8-监听进程、线程和模块 Windows内核有一种强大的机制，可以在重大事件发送时得到通知，比如这里的进程、线程和模块加载通知。 本次采用链表+自动快速互斥体来实现内核的主要架构。 进程通知 只要在内核里面注册了进程通知那么创建进程就会反馈给内核里面。 //注册/销毁进程 阅读全文

摘要： 1 void IrpTest(PDRIVER_OBJECT DriverObject) 2 { 3 DriverObject->MajorFunction[IRP_MJ_CREATE] = HelloDDKDispatchRoutin; 4 DriverObject->MajorFunction[I 阅读全文

摘要： 反调试——3——反调试手段 反调试的方法有非常非常多，这里介绍一些比较常见的。 通过CloseHandle() 通过CloseHandle来试图关闭一个不存在的句柄，如果程序处于调试状态就会引发异常，否则没有任何反应。 这种机制在User下看起来就是调用一个CloseHandle，但是其实它的内部逻 阅读全文

摘要： 反调试——2——深入NtQueryInformationProcess ProcessDebugPort这个标志位里面涉及到的东西比较复杂，所以要展开来讲。 CheckRemoteDebuggerPresent()： CheckRemoteDebuggerPresent function (debu 阅读全文

摘要： 反调试——1——开始反调试 前面的文章可以算是反调试的一些铺垫了，现在算是正式开始。 调试器的工作流程 调试器调试分两种情况，一种是附加进程，一种是通过可执行程序来创建进程调试。 创建进程： 通过CreateProcess并设置为DEBUG_PROCESS模式来启动。 BOOL CreateProc 阅读全文

摘要： 反调试——异常过滤器 首先什么是异常：很简答就是CPU遇到了无法执行的指令。 异常处理的流程： CPU->操作系统->调试器（如果有)->VEH->SEH->异常过滤器（SetUnhandleExceptionFilter） 异常过滤器： https://docs.microsoft.com/en- 阅读全文

摘要： void RegTest()//内核的操作Reg函数和User下的函数不一样 { RawCreateOpenRegTest(); EasyOpenRegTest(); EditReg(); QueryReg(); } void RawCreateOpenRegTest() //内核的操作Reg函数和 阅读全文

摘要： 网络游戏逆向分析-4-分析喊话call参数来源 好久没更新了，去实习去了，大家见谅一下。 前面找到了喊话功能call函数，然后分析了它的参数有五个，分别的四个push的和一个ecx： 第一次edx = 0ebx = 0ecx = 7E205ABC //字符串的首地址​edx = 5ABEB800ec 阅读全文

摘要： void FileTest() { //进行文件相关操作 //创建文件 CreateFileTest(); //打开文件 OpenFileTest(); //修改或获取文件属性 ModifyFileAttributesTest(); //读写文件 ReadFileTest(); WriteFileT 阅读全文