摘要： windbg 1. .process 挂在进程 读内存时，会指定读目标进程的内存，使用该指令挂载内存。 2. x指令 x命令显示所有上下文中匹配指定模板的符号。可用字符通配符 3. !vtop 线性地址到物理地址的转换 4. F9 调试的反汇编窗口下断点 5. .cls 清屏 6. !pfn x 查 阅读全文

摘要： Windows内核分析索引目录：https://www.cnblogs.com/onetrainee/p/11675224.html 通过Hook NtOpenProcess 函数实现反调试 1. Hook思路设计 2. Hook NtOpenProcess函数 3. 效果演示 1. Hook思路设 阅读全文

摘要： Windows内核分析索引目录：https://www.cnblogs.com/onetrainee/p/11675224.html PE文件 1. DOS头文件 DOS中 typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_ma 阅读全文

摘要： Windows内核分析索引目录：https://www.cnblogs.com/onetrainee/p/11675224.html 消息机制 1.最基本的窗口创建 #include <windows.h> LRESULT CALLBACK WndProc(HWND, UINT, WPARAM, L 阅读全文

摘要： Windows内核分析索引目录：https://www.cnblogs.com/onetrainee/p/11675224.html 软件调试 1.调试程序如何与被调试程序　2. 调试事件的采集3. 调试事件的处理流程4. 异常的调试流程5. 软件断点6. 内存断点7. 硬件断点8. 单步异常与单步 阅读全文

摘要： Windows内核分析索引目录：https://www.cnblogs.com/onetrainee/p/11675224.html 异常(2) 编译器对于SEH异常的拓展 在 异常(1) 中，我们介绍了用户模拟异常与CPU异常的收集，以及内核层与用户层异常的处理，其中介绍过SEH异常。 我们之前只 阅读全文

摘要： Windows内核分析索引目录：https://www.cnblogs.com/onetrainee/p/11675224.html 异常（1） 1. 异常种类2. CPU异常的产生3. 用户模拟异常4.CPU异常与用户模拟异常的总结5. 内核层异常的分发与处理6. 用户层的异常处理7.VEH异常8 阅读全文

摘要： Windows内核分析索引目录：https://www.cnblogs.com/onetrainee/p/11675224.html 等待对象 1. 临界区 1）全局变量潜在问题 全局变量在面临全局切换时会出现安全隐患，这是众所周知的，但下面代码安全么？ INC DOWRD PTR DS:[0x12 阅读全文

摘要： Windows内核分析索引目录：https://www.cnblogs.com/onetrainee/p/11675224.html 进程与线程 1. _EPROCESS结构体2. _ETHREAD结构体3. _KPCR结构体4. 线程的等待/调度链表5. 线程切换6. 线程切换与TSS7. FS: 阅读全文

摘要： Windows内核分析索引目录：https://www.cnblogs.com/onetrainee/p/11675224.html APC 1. APC的本质 一个线程，其一直占用着CPU，对CPU拥有所有权，不可能从外部改变行为。 APC的本质就是：通过一个函数，让线程执行，从而可以从外部改变该 阅读全文