摘要：1.类型和存储 标量数据类型 Byte － 8 位 Word － 16 位 Double Word － 32 位 Quad Word － 64 位 Octa Word － 128 位 Byte － 8 位 Word － 16 位 Double Word － 32 位 Quad Word － 64 位 阅读全文

摘要：以下内容参考黑客防线2012合订本354页 MSDN 原话: The PsSetCreateProcessNotifyRoutineEx routine registers or removes a callback routine that notifies the caller when a p 阅读全文

摘要：以下内容参考黑客防线2012合订本316页 1.首先要注意的问题 inline hook 不能截断指令. 也就是说修改目标函数的指令实现跳转到自己的函数里面时, 不能截断掉目标函数的指令. 因为在自己的函数里面还要调用原来的函数,但是原来的函数如果被截断那就没办法正常执行代码 2.反汇编引擎. 用来 阅读全文

摘要：以下参考黑客防线2012合订本 339页 //下午调代码 搞了这个一天,总是蓝屏,不断检查代码,后来发现了很怪的现象. 自己写的代码不能读取shadow ssdt的偏移内容,但是通过和调试作者的代码输出发现地址确实是一模一样的,但是自己的读不出来,而作者的能 读出来,当直接使用windbg调试时也读 阅读全文

摘要：以下内容参考黑客防线2012合订本第294页 其实没什么好说的,直接上代码: ssdt的结构,和win32差不多,但是要注意这里的指针类型不能用ULONG替代,如果要非要替代应该用ULONGLONG,原因就不说了. 获取上面的结构的地址的代码; 遍历所有Native API 地址: 测试结果: wi 阅读全文