上面说过了隐藏进程，这篇博客我们就简单描述一下暴力搜索进程。 一个进程要运行，必然会加载到内存中，断链隐藏进程只是把EPROCESS从链表上摘除了，但它还是驻留在内存中的。这样我们就有了找到它的方法。 在内核中，传入进程ID，通过ZwOpenProcess得到句柄，再传入句柄 ...

现在探讨内核程序和应用程序之间的本质区别。除了能用WDK编写内核程序和阅读一部分Windows的内核代码之外，我们还需要了解它们的本质是什么，它们和我们熟悉的应用程序有什么区别。 Intel的x86处理器是通过Ring级别来进行访问控制的，级别共分4层，从Ring0到Ring3（后面 ...

Intel的CPU将特权级别分为4个级别：RING0,RING1,RING2,RING3。Windows只使用其中的两个级别RING0和RING3，RING0只给操作系统用，RING3谁都能用。如果普通应用程序企图执行RING0指令，则Windows会显示“非法指令”错误信息。 挑战 ...

...

Intel的CPU将特权级别分为4个级别：RING0,RING1,RING2,RING3。 Windows只使用其中的两个级别RING0和RING3，RING0只给操作系统用，RING3谁都能用。如果普通应用程序企图执行RING0指令，则Windows会显示“非法指令”错误信息。 ring0 ...

本人已迁移博客至掘进，以后会在掘进平台更新最新的文章也会有更多的干货，欢迎大家关注！！！https://juejin.im/user/588993965333309 一、基本使用 先看枚举的几种使用(暂不要问,看看是否都能看懂,待会会逐一讲解) 1、操作一 简单使用 ...

ring0是指CPU的运行级别，ring0是最高级别，ring1次之，ring2更次之…… 拿Linux+x86来说， 操作系统（内核）的代码运行在最高运行级别ring0上，可以使用特权指令，控制中断、修改页表、访问设备等等。 应用程序的代码运行在最低运行级别上ring3上，不能做受控操作 ...

最近在写ARK，发现Windows在内核并没有直接提供这样的内核API，没办法，自己手动实现吧。网上搜了一堆，写了个函数 头文件中定义 CPP中 关于D ...