摘要： 利用内存锁定技术防止CE修改 通过这种在R3环利用的技术，我们可以来达到保护内存的目的，像VirtualProtect等函数来修改页属性根本无法修改。 而CE修改器推测应该使用VirtualProtect来修改页属性，从而可以修改内存。 当然，这种技术在R0层面是可以修改的（当然修改起来也有一定难度 阅读全文

摘要： 直接删除 “驱动精灵” 即可。 等我 二进制安全 学好了，一定开发一种病毒专干这种劫持的，煞笔软件。 阅读全文

摘要： Windows内核分析索引目录：https://www.cnblogs.com/onetrainee/p/11675224.html VAD树的属性以及遍历 前面学习过的PFNDATABSAE是管理物理页的，整个操作系统仅维护一个PFNDATABASE。 现在的VAD是管理虚拟内存的，每一个进程有自 阅读全文

摘要： 在驱动中实现进程遍历 一、进程遍历思路： 1）之前在用户层，我们通过查看TEB结构体来实现进程遍历；但在内核层，我们使用_EPROCESS结构体来获取进程相关信息。 2）_EPROCESS 有几个比较重要的成员： 1> +0x11c VadRoot : Ptr32 Void，该进程VAD树的根结点。 阅读全文

摘要： VMware+windbg时快照功能的使用 一、快照功能的使用 我们在编写与调试驱动文件时经常会面临死机蓝屏情况，如果像平常一样重启，再重新配置环境，肯定会占用大量时间。 Vmware虚拟机给我们提供快照功能，它可以帮助我们快速回到之前的某一刻。（前提是你先建立快照） 1）建立快照 如下图，右击 虚 阅读全文

摘要： 边学习边更新这专题，随手记录一下用到的思路，给自己看的(所以读者看可能有些懵，不好意思...) RootKit随手记(一)RootKit的驱动隐藏、读取配置、卸载安装 一、驱动隐藏 1. 隐藏原理 一款好的ROOTKIT一定会隐藏自己，检测驱动时经过一串链表，该链表的结点在 DRIVER_OBJEC 阅读全文

摘要： VS2017+WDK10使用默认配置可以开发出运行在win7的驱动，但要开发运行在xp的驱动，还要进行如下操作： Dervier Settings -> Driver Model -> type of driver 由KWMF改为WDM。 阅读全文

摘要： Windows内核分析索引目录：https://www.cnblogs.com/onetrainee/p/11675224.html Windows内存布局 / MmPfnDataBase页帧数据库 1. Windows操作系统在X86下的内存布局如下图所示 2. 进程工作集 （Hyperspace 阅读全文

摘要： Windows内核分析索引目录：https://www.cnblogs.com/onetrainee/p/11675224.html 保护模式中的PDE与PTE 1. PDE与PTE的认知 我们在上一节，10-10-12模式中已经见过下表。 PDT(Page Direcotry Table)y页目录 阅读全文

摘要： Windows内核分析索引目录：https://www.cnblogs.com/onetrainee/p/11675224.html 保护模式101012分页机制 在保护模式中，我们都知道，所谓的内存地址是虚拟地址，不是物理地址。 但是，我们是否想过，虚拟地址是随便产生的吗？当然不是，其实一些数字的 阅读全文