摘要： 在驱动中实现进程遍历 一、进程遍历思路： 1）之前在用户层，我们通过查看TEB结构体来实现进程遍历；但在内核层，我们使用_EPROCESS结构体来获取进程相关信息。 2）_EPROCESS 有几个比较重要的成员： 1> +0x11c VadRoot : Ptr32 Void，该进程VAD树的根结点。 阅读全文

摘要： VMware+windbg时快照功能的使用 一、快照功能的使用 我们在编写与调试驱动文件时经常会面临死机蓝屏情况，如果像平常一样重启，再重新配置环境，肯定会占用大量时间。 Vmware虚拟机给我们提供快照功能，它可以帮助我们快速回到之前的某一刻。（前提是你先建立快照） 1）建立快照 如下图，右击 虚 阅读全文

摘要： 边学习边更新这专题，随手记录一下用到的思路，给自己看的(所以读者看可能有些懵，不好意思...) RootKit随手记(一)RootKit的驱动隐藏、读取配置、卸载安装 一、驱动隐藏 1. 隐藏原理 一款好的ROOTKIT一定会隐藏自己，检测驱动时经过一串链表，该链表的结点在 DRIVER_OBJEC 阅读全文