目录 x64(32)下的进程保护回调. 一丶进程保护线程保护 1.简介以及原理 1.2 代码 1.3注意的问题 二丶丶回调函数写法 2.1 遇到的问题 ...

1.EPROCESS结构体 EPROCESS块来表示。EPROCESS块中不仅包含了进程相关了很多信息，还有很多指向其他相关结构数据结构的指针。例如每一个进程里面都至少有一个ETHREAD块表示的线程。进程的名字，和在用户空间的PEB（进程环境）块等等。EPROCESS中除了PEB成员块 ...

注意：下面的所有案例必须使用.C结尾的文件，且必须在链接选项中加入 /INTEGRITYCHECK 选项，否则编译根本无法通过（整合修正，Win10可编译，须在测试模式下进行），内核代码相对固定，如果 ...

！！版权声明：本文为博主原创文章，版权归原文作者和博客园共有，谢绝任何形式的 转载！！ 作者：mohist ----- 蓝 屏 警 告 --- 加载驱动的操作请在虚拟机中完成， 可以有效避免物理机蓝屏 或者其他情况出现 带来的损失。 1、准备 ...

前面的驱动编程相关内容都是在32位环境下进行的，驱动程序与应用程序不同，32位的驱动只能运行在32位系统中，64位驱动只能在64位系统中运行，在WIN32环境下，我们可以各种Hook挂钩各种系统函数，而恶意程序也可以通过加载驱动进行内核层面的破坏(Rootkit)，大家都可以乱搞，把好端端 ...

  本篇原文为 X64 Deep Dive，如果有良好的英文基础的能力，可以点击该链接进行阅读。本文为我个人：寂静的羽夏(wingsummer) 中文翻译，非机翻，著作权归原作者所有。   由于原文十分冗长，也十分干货，采用机翻辅助，人工阅读比对修改的方式进行，如有翻译不得当的地方，欢迎批评 ...

  本篇原文为 introduction to x64 assembly ，如果有良好的英文基础，可以点击该链接进行下载阅读。本文为我个人：寂静的羽夏(wingsummer) 中文翻译，非机翻，著作权归原作者所有。   本篇不算太长，是来自Intel的官方下载的介绍性文档，如有翻译不得当的地方 ...

上篇讲了如何在编写x64应用程序时加入x64汇编，这里来说说如何在编写x64驱动时加入x64汇编。 一、在asm文件中单独编写功能函数 比如要实现一个64位的加法函数，原型如下： ULONG64 myAdd(ULONG64 u1,ULONG64 u2); 那么源码目录（一般 ...