摘要： Peering Inside the PE: A Tour of the Win32 Portable Executable File Format | Microsoft Docs dumpbin.exe -imports C:\Windows\System32\notepad.exe 阅读全文

摘要： 代码注入|沙盒加 (sandboxie-plus.com) _FX ULONG SbieDll_InjectLow_InitSyscalls(BOOLEAN drv_init) _FX void *SbieDll_InjectLow_CopySyscalls(HANDLE hProcess) sbo 阅读全文

摘要： ForceProcess=calc.exeForceProcess=cmd.exe StartCommand=mstsc.exeStartCommand=mspaint.exe File_CopyLimitSilent PromptForFileMigration 阅读全文

摘要： _FX BOOLEAN Ipc_StartServer(const WCHAR *TruePath, BOOLEAN Async) { static const WCHAR *_format = L"%S (%d)"; static const WCHAR *_formatHex = L"%S (% 阅读全文

摘要： #include <windows.h> #include <tchar.h> #include <stdio.h> #define BUFSIZE 4096 #define LONG_DIR_NAME TEXT("c:\\longdirectoryname") void _tmain(int ar 阅读全文

摘要： if (1) { MSG_HEADER req; req.length = sizeof(req); req.msgid = MSGID_SBIE_INI_RUN_SBIE_CTRL; ErrorMessageBox(L"Call SbieCtrl.exe"); SbieDll_CallServer 阅读全文

摘要： RTL，Register Transfer Level，直译为寄存器转换级，顾名思义，也就是在这个级别下，要描述各级寄存器（时序逻辑中的寄存器），以及寄存器之间的信号的是如何转换的（时序逻辑中的组合逻辑）。 通俗来讲，RTL代码不是在“写代码”，是在画电路结构。RTL代码需要“画”出输入输出端口，各 阅读全文

摘要： IRQL是Interrupt Request Level的缩写，即中断请求级别。是Windows操作系统使用的处理器中断级别。 KeRaiseIrql和KeLowerIrql #define POOL_DECLARE_IRQL KIRQL irql; #define POOL_LOCK(dummyl 阅读全文

摘要： silo a large, round tower on a farm for storing grain or winter food for cattle: 一些历史 在微软与Docker合作之前，Windows缺乏容器正常工作所需的一些核心功能，主要是命名空间，控制组（cgroups）和层功能 阅读全文

摘要： Ps个人认为是process security的缩写 PsSetCreateProcessNotifyRoutineEx相关 if (Driver_OsVersion >= DRIVER_WINDOWS_7) { status = PsSetCreateProcessNotifyRoutineEx( 阅读全文