进程保护部分参考 http://bbs.pediy.com/showthread.php?t=168023 进程保护，在任务管理器不能结束进程 我们使用任务管理器结束进程 ...

0x01 前言 　　同学问过我进程体中EPROCESS的三条链断了怎么枚举模块，这也是也腾讯面试题。我当时听到也是懵逼的。 　　后来在网上看到了一些内存暴力枚举的方法ZwQueryVirtualM ...

驱动开发之 设备读写方式：直接方式 上一节介绍了缓冲区方式读写，这一节咱们来看看直接方式读写设备。 1. 直接方式读写设备，操作系统会将用户模式下的缓冲区锁住，然后操作系统将这段缓冲区在内核模式 ...

0x01 前言 　　APCs(Asynchronous Procedure Calls), 在NT中，有两种类型的APCs：用户模式和内核模式。用户APCs运行在用户模式下目标线程当前上下 ...

https://blog.csdn.net/zj510/article/details/39476171 Windows Minifilter驱动 - 获取进程ID, 进程名字和线程ID ...

应用程序与驱动程序据我所知，细分可以分6种，ReadFile，WirteFile方式的缓冲区设备读写，直接方式读写，和其他方式读写。Io设备控制操作（即DeviceControl)的缓冲内存模式IOC ...