x64內核HOOK技術之攔截進程.攔截線程.攔截模塊 一丶為什么講解HOOK技術. 在32系統下, 例如我們要HOOK SSDT表,那么直接講CR0的內存保護屬性去掉. 直接講表的地址修改即可. 但是在64位系統下,不可以這樣操作了. 第一是因為 SSDT表 ...

https://github.com/ClownQq/YDArk ...

0x00 前言 本文主要是討論Windows 7 x64下的內核虛擬地址空間的結構，可以利用WiinDBG調試的擴展命令"!CMKD.kvas"來顯示x64下的內核虛擬地址空間的整體布局。了解內核的地址布局在某些情況下是很有的，比如說在研究New Blue Pill的源碼和虛擬化 ...

！！版權聲明：本文為博主原創文章，版權歸原文作者和博客園共有，謝絕任何形式的 轉載！！ 作者：mohist ----- 藍 屏 警 告 --- 加載驅動的操作請在虛擬機中完成， 可以有效避免物理機藍屏 或者其他情況出現 帶來的損失。 1、准備 ...

前面的驅動編程相關內容都是在32位環境下進行的，驅動程序與應用程序不同，32位的驅動只能運行在32位系統中，64位驅動只能在64位系統中運行，在WIN32環境下，我們可以各種Hook掛鈎各種系統函數，而惡意程序也可以通過加載驅動進行內核層面的破壞(Rootkit)，大家都可以亂搞，把好端端 ...

DKOM 就是直接內核對象操作技術，我們所有的操作都會被系統記錄在內存中，而驅動進程隱藏的做舊就是操作進程的EPROCESS結構與線程的ETHREAD結構、鏈表，要實現進程的隱藏我們只需要將某個進程中的信息，在系統EPROCESS鏈表中摘除即可實現進程隱藏。 DKOM 隱藏進程的本質是操作 ...

  本篇原文為 X64 Deep Dive，如果有良好的英文基礎的能力，可以點擊該鏈接進行閱讀。本文為我個人：寂靜的羽夏(wingsummer) 中文翻譯，非機翻，著作權歸原作者所有。   由於原文十分冗長，也十分干貨，采用機翻輔助，人工閱讀比對修改的方式進行，如有翻譯不得當的地方，歡迎批評 ...