指令碎片化 在Inline Hook时一般在需要HOOK的函数头部写入jmp指令，然后jmp指令跳转到Detour函数中。但是因为inline hook函数的头部代码形式多样，写入jmp指令需要5个 ...

这是一个NT函数，需要通过LoadLibrary（）和GetProcAddress（）来获取其地址继而调用它。其第一个参数SystemInformationClass指定要检索的系统信息的类型，如 ...

消息队列 windows系统是通过消息驱动的，每移动一下鼠标，点击一下屏幕都会产生一个消息。这些消息会先被放在windows的一个系统消息队列（先进先出）中，windows系统会为每一个GUI线程创 ...

输入法注入原理 IME输入法实际就是一个dll文件（后缀为ime），此dll文件需要导出必要的接口供系统加载输入法时调用。我们可以在此ime文件的DllMain函数的入口通过调用LoadLibrar ...

INT3断点 INT3断点是利用0Xcc指令实现的，cpu在执行0xcc指令时会引发断点异常调试器会捕捉这个异常。 INT3断点引发的异常属于陷阱型异常，在执行完0xcc指令后eip指向下一条 ...