2017 年 10月 3 日随笔档案 - freesec

windows 64位系统非HOOK方式监控进程创建

摘要：以下内容参考黑客防线2012合订本354页 MSDN 原话: The PsSetCreateProcessNotifyRoutineEx routine registers or removes a callback routine that notifies the caller when a p 阅读全文

posted @ 2017-10-03 14:00 freesec 阅读(3512) 评论(0) 推荐(0) 编辑

win 64 ring0 inline hook

摘要：以下内容参考黑客防线2012合订本316页 1.首先要注意的问题 inline hook 不能截断指令. 也就是说修改目标函数的指令实现跳转到自己的函数里面时, 不能截断掉目标函数的指令. 因为在自己的函数里面还要调用原来的函数,但是原来的函数如果被截断那就没办法正常执行代码 2.反汇编引擎. 用来阅读全文

posted @ 2017-10-03 12:45 freesec 阅读(1384) 评论(0) 推荐(0) 编辑

2017年10月3日

公告