摘要:
用户态用户态有四类组件,这四类组件都是以进程形式存在的,也就是说,它们都有自己的进程地址空间(其实就是一套页表)。1. System Support Processes这些是固化的进程,也就是说是操作系统结合在一起的进程。比如logon process(winlogon.exe),Session m... 阅读全文
摘要:
参考:http://blog.csdn.net/broadview2006/article/details/4171397里面的内容出自简而言之,Windows并没有将运行在Ring 0的代码全部视为内核,而是区分为Kernel和Executive,Executive可以理解为“管理层”的意思,解释... 阅读全文
摘要:
processhacker-code-5632\1.x\trunk\NProcessHacker\hook.htypedef struct _PH_HOOK{ PVOID Function; PVOID Target; BOOLEAN Hooked; CHAR Bytes[5... 阅读全文