LyShark

摘要： 内核中的`InlineHook`函数挂钩技术其实与应用层完全一致，都是使用劫持执行流并跳转到我们自己的函数上来做处理，唯一的不同只有一个内核`Hook`只针对内核API函数，虽然只针对内核API函数实现挂钩但由于其身处在最底层所以一旦被挂钩其整个应用层都将会受到影响，这就直接决定了在内核层挂钩的效果是应用层无法比拟的，对于安全从业者来说学会使用内核挂钩也是很重要的。 阅读全文

摘要： 本章开始`LyShark`将介绍如何在内核中实现`InlineHook`挂钩这门技术，内核挂钩的第一步需要实现一个动态计算汇编指令长度的功能，该功能可以使用`LDE64`这个反汇编引擎，该引擎小巧简单可以直接在驱动中使用，LDE引擎是`BeaEngine`引擎的一部分，后来让`BeatriX`打包成了一个`ShellCode`代码，并可以通过`typedef`动态指针的方式直接调用功能，本章内容作为后期`Hook`挂钩的铺垫部分，独立出来也是因为代码太多太占空间一篇文章写下来或很长影响阅读。 阅读全文