摘要:
前奏近来一直在自学Windows Hook相关的知识,已经尝试多种注入方式。尤其对消息钩子方式很感兴趣,因为看到Spy++能够截获系统中绝大多数应用的消息流,就很想知道它的工作原理,打算制作属于自己的Spy++。消息钩子简介:消息钩子简言之就是Windows处理消息的一个平台,用户可以在此平台获取或过滤所需应用的消息(例如某鼠标位置,键盘击下等),这些被监控的消息都会在目标窗口处理函数之前被截获。... 阅读全文
摘要:
静态反调试特点:在调试开始阻拦调试者PEBBeginDebug:调试标记位Ldr:内存状态Heap(Flag,Force Flags):堆状态NtGlobalFlag:内核全局标记TEBStaticUnicodeString:静态缓冲区原始APINtQueryInformation()ProcessDebugPort(0x07):获取调试端口ProcessDebugObjectHandle(0x1... 阅读全文