摘要： 说明： SYSTEM_INFORMATION_CLASS 的5号功能枚举进程信息。其是这个函数对应着ring3下的 NtQuerySystemInformation，但msdn上说win8以后ZwQuerySystemInformation函数已经不可用，本人也没有在win8下测试过。留给读者自己实 阅读全文

摘要： 前言：看到sprintf，swprintf之类的可变参数格式化函数，是否想过我们能写一个自定义的类似的函数吗？答案是很定的，下面来介绍一种方法，用va_list，va_start, va_end来实现。 va_list是一个宏，使用的时候先定义一个变量，然后用va_start来初始化，使用完后用va 阅读全文

摘要： 今天学会了一种在内核下枚举进程的方法，写下来与大家共享。用到了的是EPROCESS 结构,EPROCESS 是一个关于进程的结构,此结构很庞大,包括的内容非常丰富.由于此结构未文档化所以用windbg来查看输入dt _eprocess命令查看该结构如下： 从上述结构中可以看出ActiveProces 阅读全文

摘要： 这里简单的介绍一下内核开发双机联调的搭建环境，尽管网上有很多类似的文章，但看了很多总是不太舒服，觉得不太明白，所以自己实践一下总结一篇。下面就拿我的环境简单介绍，希望别人可以看懂。准备工具：装虚拟机VMware，安装被调试机OS（笔者的是win7 x86）笔者的真机OS版本为 win8.1 x64（ 阅读全文

摘要： BOOL WINAPI EnumProcesses ( _Out_writes_bytes_(cb) DWORD * lpidProcess, _In_ DWORD cb, _Out_ LPDWORD lpcbNeeded... 阅读全文

摘要： 函数原型: NTSTATUS WINAPI NtQuerySystemInformation( _In_ SYSTEM_INFORMATION_CLASS SystemInformationClass, _Inout_ PVOID SystemInformation, _In_ ULONG Syst 阅读全文

摘要： 函数原型: The GetShortPathName function retrieves the short path form of a specified input path. DWORD GetShortPathName( LPCTSTR lpszLongPath, // null-ter 阅读全文

摘要： 转自：http://www.cnblogs.com/this-543273659/archive/2013/03/04/2943380.html 在调试一些病毒程序的时候，可能会碰到一些反调试技术，也就是说，被调试的程序可以检测到自己是否被调试器附加了，如果探知自己正在被调试，肯定是有人试图反汇编啦 阅读全文

摘要： //说明：把Reserved3转化为DWORD后一定会得到devenv.exe 进程的ID，dwParentID也可以说明问题 //说明：这是peb字段，我们看到BeingDebugged字段已经被置为1，说明正在被调试， SessionId：字段也显示出了该进程的会话ID其它字段可以在深入的研究， 阅读全文

摘要： 导语：结束一个进程的方法通常有：exit(), ExitProcess, TerminateProcess. 通常一个进程在正常情况下结束的话，系统会调用 ExitProcess函数结束进程，但有时候想强行杀掉一个进程的话就必须调用TerminateProcess函数了，TerminateProce 阅读全文