上面說過了隱藏進程，這篇博客我們就簡單描述一下暴力搜索進程。 一個進程要運行，必然會加載到內存中，斷鏈隱藏進程只是把EPROCESS從鏈表上摘除了，但它還是駐留在內存中的。這樣我們就有了找到它的方法。 在內核中，傳入進程ID，通過ZwOpenProcess得到句柄，再傳入句柄 ...

現在探討內核程序和應用程序之間的本質區別。除了能用WDK編寫內核程序和閱讀一部分Windows的內核代碼之外，我們還需要了解它們的本質是什么，它們和我們熟悉的應用程序有什么區別。 Intel的x86處理器是通過Ring級別來進行訪問控制的，級別共分4層，從Ring0到Ring3（后面 ...

Intel的CPU將特權級別分為4個級別：RING0,RING1,RING2,RING3。Windows只使用其中的兩個級別RING0和RING3，RING0只給操作系統用，RING3誰都能用。如果普通應用程序企圖執行RING0指令，則Windows會顯示“非法指令”錯誤信息。 挑戰 ...

...

Intel的CPU將特權級別分為4個級別：RING0,RING1,RING2,RING3。 Windows只使用其中的兩個級別RING0和RING3，RING0只給操作系統用，RING3誰都能用。如果普通應用程序企圖執行RING0指令，則Windows會顯示“非法指令”錯誤信息。 ring0 ...

本人已遷移博客至掘進，以后會在掘進平台更新最新的文章也會有更多的干貨，歡迎大家關注！！！https://juejin.im/user/588993965333309 一、基本使用 先看枚舉的幾種使用(暫不要問,看看是否都能看懂,待會會逐一講解) 1、操作一 簡單使用 ...

ring0是指CPU的運行級別，ring0是最高級別，ring1次之，ring2更次之…… 拿Linux+x86來說， 操作系統（內核）的代碼運行在最高運行級別ring0上，可以使用特權指令，控制中斷、修改頁表、訪問設備等等。 應用程序的代碼運行在最低運行級別上ring3上，不能做受控操作 ...

最近在寫ARK，發現Windows在內核並沒有直接提供這樣的內核API，沒辦法，自己手動實現吧。網上搜了一堆，寫了個函數 頭文件中定義 CPP中 關於D ...