摘要：Early Bird是一种简单而强大的技术，Early Bird本质上是一种APC注入与线程劫持的变体，由于线程初始化时会调用ntdll未导出函数NtTestAlert，该函数会清空并处理APC队列，所以注入的代码通常在进程的主线程的入口点之前运行并接管进程控制权 执行流程： - 创建一个挂起的进程 阅读全文

摘要：## 整体分析 整体思路： - 给系统安装鼠标消息钩子做dll注入 - 成功注入之后，使用内联hook技术hook OpenProcess以及TerminateProcess - 当任务管理器需要关闭进程的时候，会先调用OpenProcess打开进程，再调用TerminateProcess结束进程。 阅读全文