0x00 前言 本文主要是讨论Windows 7 x64下的内核虚拟地址空间的结构，可以利用WiinDBG调试的扩展命令"!CMKD.kvas"来显示x64下的内核虚拟地址空间的整体布局。了解内核的 ...

平常用的最多的dll注入技术就是远程线程，刚刚逛看雪，看到有人写的面试的时候被问到的问题，其中就有dll注入的方法，我突然想到我开始面试的时候也被问了dll注入的方法，当时也是就只知道一个远程线程，答 ...

欢迎转载，转载请注明出处：http://www.cnblogs.com/lanrenxinxin/p/4977488.html 本文是《深入理解Windows操作系统 (第六版) 》关于64位Wi ...

在x86的体系结构中，我们常用hook关键的系统调用来达到对系统的监控,但是对于x64的结构，因为有PatchGuard的存在，对于一些系统关键点进行hook是很不稳定的，在很大几率上会导致蓝屏的发生 ...

在Ring3 是提供了两个API函数，WriteProcessMemory和ReadProcessMemory来读取其他进程的内存 而在ring0也是有相应的接口函 ...

　　　在得到进程EProcess之后，对于进程完整路径的获得一般有两种方法，一种是访问的进程的PEB结构，在PEB结构中保存有进程的完整路径，另一种方法就是采用访问_FILE_OBJECT的方法。 ...

是由获得进程模块而引发的一系列的问题，首先，在ring3层下枚举进程模块有ToolHelp,Psapi,还可以通过在ntdll中获得ZwQuerySystemInformation的函数地址来枚举，其 ...

在之前的一篇文章中介绍了替换IDT向量表中的地址来达到Hook的目的 IDT hook KiTrap03 但是这样很容易就可以被检测了。接下来要学习就是通过patch GDT来达到Hook IDT的目 ...

首先，我们知道，进程体EPROCESS是被系统维护在一个双向链表LIST_ENTRY中的，那么，我们只要把进程的EPROCESS从这个链表中摘除，就可以实现进程隐藏了，当然，这只能瞒过进程管理器和zw ...

完整工程：http://files.cnblogs.com/files/Gotogoo/%E8%BF%9B%E7%A8%8B%E7%AE%A1%E7%90%86%E5%99%A8%28x86%26%2 ...