摘要： 是由获得进程模块而引发的一系列的问题，首先，在ring3层下枚举进程模块有ToolHelp,Psapi,还可以通过在ntdll中获得ZwQuerySystemInformation的函数地址来枚举，其中ZwQueryInformationProcess相当于是调用系统服务函数，其内部实现就是遍历PE... 阅读全文

摘要： Win7 比较 xp下ObjectHeader中的内容有所变化，xp直接在OBJECT_HEADER里保存了POBJECT_TYPE指针，而Win7中把所有的对象类型放在了一个表里，这个表叫做ObTypeIndexTable。可以这么定义为：POBJECT_TYPE ObTypeIndexTable... 阅读全文