大熊猫侯佩

摘要： 我写这个纯粹是hacker精神，如果被滥用做病毒木马一类的邋遢东东，可跟偶没关系哦。原理very简单，我发现瑞星监控主要在RavMonD进程中，如果打破其与内核的联系，则瑞星监控功能就无法正常工作了，怎么打破联系呢？如果是进内核的话当然有很多的办法，从而没有挑战性了，况且RavMonD会阻止用户进程去加载驱动或者动注册表的关键地方，比如run子键。 阅读全文

摘要： Hook入门级文章，主要想培养一下偶写文章的感觉，老鸟无视…我想看看技术文章能不能无厘头的写，如果效果不错的话，准备更上一层-----用我的原创漫画表达。:) 阅读全文

摘要： 写这篇原创文章是因为看到了极客中的一篇文章《有趣各种编程语言实现2+2=5》，其中C语言是这样实现的 阅读全文

摘要： 话说windows也有syscall，这是必须的。但是win的syscall可以直接call吗？可以是可以但是破费周折，搞成SDT之类的复杂概念。下面看看linux是如何做的吧。 阅读全文

摘要： 我们在前一章中看到了如何仅仅用syscall做一些简单的事,现在我们看能不能直接调用C标准库中的函数快速做一些"复杂"的事: 阅读全文

摘要： 在linux简单之美（二）中我们尝试使用了C库的函数完成功能,那么能不能用syscall方式来搞呢?显然可以! 阅读全文

摘要： 我们在第16和第17篇中分别介绍了obj-c的KVC与KVO特性，当时举的例子比较fun，太抽象，貌似和实际不沾边哦。那么下面我们就用一个实际中的例子来看看KVC与KVO是如何运用的吧。 阅读全文

摘要： 我们可以借助obj-c中的键值编码(以后简称KVC,Key-Value Coding)来存取类的属性，通过指定所要访问的属性名字符串标示符，可以使用存取器方法来获取或设置类的属性。 阅读全文

摘要： 在NT下无驱进入Ring0是一个老生常谈的方法了，网上也有一些C代码的例子，我之所以用汇编重写是因为上次在[原创/探讨]Windows 核心编程研究系列之一(改变进程 PTE)的帖子中自己没有实验成功(其实已经成功了，只是自己太马虎，竟然还不知道 -_-b),顺面聊聊PM(保护模式)中的调用门的使用情况。鉴于这些都是可以作为基本功来了解的知识点,所以对此已经熟悉的朋友就可以略过不看了，当然由于本人水平有限，各位前来“挑挑刺”也是非常欢迎的，呵呵。 阅读全文

摘要： 上篇仅仅说到如何抢先DriverStudio，并在结尾留给大家一个遐想。现在我进一步拓展这个遐想，从而给大家更多的遐想。: ) 那么现在我要给这个驱动增加新的功能，不但抢先DriverStudio启动，而且给用户显示几行提示，并等待用户的输入，如果用户输入B 键则发生蓝屏，如果用户按任意其他键则继续往下执行，SoDriverStudio可以正常执行下去。 阅读全文

摘要： 当引导扇区被引导后，会查找NTLDR,NTLDR做的一件非常重要的事就是将CPU从实模式转换到保护模式下。在加载完NTDECT.COM后接下来就会将NT的核心装入内存，它们是HAL.DLL和NTOSKRNL.EXE，加载完毕后，NTLDR再加载所有引导必须的驱动程序。接下来就是我们所关心的地方:它会将HKLM/SYSTEM/Services中值为 SERVICE_BOOT_START的DRIVER装入，但此时不初始化。 阅读全文

摘要： 一谈到在 Win NT 下开发核心驱动程序，可能不少人首先都会想到微软“正统”的VC来。诚然，用VC 配合 WINDDK 的确工作的不错，但或许我们可以让其变得更简单更完善一些. 阅读全文

摘要： 在温习分层驱动程序一章的时候，看到了关于紧耦合驱动连接方式，这种方式不依赖于I/O管理器的串联，而是直接调用内核例程，这样可以大 大的提高驱动的执行效率。 阅读全文

摘要： 对于windows的内部，我们有太多的东西需要了解，认知。我们非凡的、从不知足的探求本性驱使我们要 拨开迷雾得见青天。太多的木马，病毒，Rootkit隐藏在系统中，这需要我们去侦查、洞悉。对于一些系统程序员来说，了解当前NT系统的内部状态，信息同样也是相当有用和重要的。 阅读全文

摘要： 说完了前面一篇KVC，不能不说说它的应用KVO(Key-Value Observing)喽。KVO类似于ruby里的hook功能，就是当一个对象属性发生变化时，观察者可以跟踪变化，进而观察或是修正这个变化，这是通过回调观察者注册的回调函数来完成的。 阅读全文