摘要：引子 2006年，中国互联网上的斗争硝烟弥漫。这时的战场上，先前颇为流行的窗口挂钩、API挂钩、进程注入等技术已然成为昨日黄花，大有逐渐淡出之势；取而代之的，则是更狠毒、更为赤裸裸的词汇：驱动、隐藏进程、Rootkit…… 前不久，我不经意翻出自己2005年9月写下的一篇文章《DLL的远程注入技术》，在下面看到了一位名叫L4bm0s的网友说这种技术已经过时了。虽然我也曾想过拟出若干辩解之词聊作... 阅读全文

摘要：最近在论坛上看到很多人都在问这个问题，花了一些时间写了这个程序，原理很简单，主要功能通过一个内核驱动中使用PsSetCreateProcessNotifyRoutine 函数来实现。效果也不错 首先新建一个驱动程序工程，在DriverEntry例程中调用PsSetCreateProcessNotifyRoutine函数向系统添加一个回调函数，并创建一个系统事件对象，当系统中有进程新建或者进程终止，... 阅读全文