x64内核HOOK技术之拦截进程.拦截线程.拦截模块 一丶为什么讲解HOOK技术. 在32系统下, 例如我们要HOOK SSDT表,那么直接讲CR0的内存保护属性去掉. 直接讲表的地址修改即可. 但是在64位系统下,不可以这样操作了. 第一是因为 SSDT表 ...

https://github.com/ClownQq/YDArk ...

0x00 前言 本文主要是讨论Windows 7 x64下的内核虚拟地址空间的结构，可以利用WiinDBG调试的扩展命令"!CMKD.kvas"来显示x64下的内核虚拟地址空间的整体布局。了解内核的地址布局在某些情况下是很有的，比如说在研究New Blue Pill的源码和虚拟化 ...

！！版权声明：本文为博主原创文章，版权归原文作者和博客园共有，谢绝任何形式的 转载！！ 作者：mohist ----- 蓝 屏 警 告 --- 加载驱动的操作请在虚拟机中完成， 可以有效避免物理机蓝屏 或者其他情况出现 带来的损失。 1、准备 ...

前面的驱动编程相关内容都是在32位环境下进行的，驱动程序与应用程序不同，32位的驱动只能运行在32位系统中，64位驱动只能在64位系统中运行，在WIN32环境下，我们可以各种Hook挂钩各种系统函数，而恶意程序也可以通过加载驱动进行内核层面的破坏(Rootkit)，大家都可以乱搞，把好端端 ...

DKOM 就是直接内核对象操作技术，我们所有的操作都会被系统记录在内存中，而驱动进程隐藏的做旧就是操作进程的EPROCESS结构与线程的ETHREAD结构、链表，要实现进程的隐藏我们只需要将某个进程中的信息，在系统EPROCESS链表中摘除即可实现进程隐藏。 DKOM 隐藏进程的本质是操作 ...

  本篇原文为 X64 Deep Dive，如果有良好的英文基础的能力，可以点击该链接进行阅读。本文为我个人：寂静的羽夏(wingsummer) 中文翻译，非机翻，著作权归原作者所有。   由于原文十分冗长，也十分干货，采用机翻辅助，人工阅读比对修改的方式进行，如有翻译不得当的地方，欢迎批评 ...