12 2022 档案
摘要:# xposed原理 * zygote进程是android系统第一个java进程,其他所有的apk进程都是通过zygote进程fork的。xposed是一个hook框架,其通过修改zygote进程的native层代码和java层代码在zygote进程启动时将xposed框架使用的jar包(Xpose
阅读全文
摘要:因为xposed已经停止更新,高版本的android可以使用他的改良版lsposed,开发环境和xposed一致, 首先需要安装magisk + zygisk + lsposed. xposed开发环境 导入xposed模块开发使用的jar包 通过设置jcenter (未成功) 设置app的buil
阅读全文
摘要:环境准备 安装WSL2 修改默认路径安装Docker Desktop,迁移docker到其他盘符,docker配置镜像加速。 https://blog.csdn.net/qq_43430759/article/details/127604483 docker pull 官方的ubuntu18.04的
阅读全文
摘要:隐藏系统线程 线程内核对象KTHREAD的ThreadListEntry链接了属于同一个进程的所有线程内核对象。应用层通过ZwQueryInformationThread和进程快照枚举线程就是枚举的这个链表,将此链表进行断链后就可以隐藏线程。 上述隐藏手段只是一种欺骗手段,无法做到真正的隐藏。对抗方
阅读全文
摘要:句柄降权 通过设置进程内核对象EPROCESS的Object钩子进行句柄降权,没什么好说的。 设置系统关键进程 调用RtlSetProcessIsCritical/NtSetInformationProcess设置EPROCESS. BreakOnTermination。调用TerminatePro
阅读全文
摘要:虚拟机架构分类 I型原生架构 原生架构也叫裸金属架构或者裸机架构,其通过直接在cpu处理器硬件上运行虚拟机监控程序,进一步使用处理器扩展(Intel VT-x和AMD-V)来运行虚拟机。这时候计算机所有运行的操作系统(包括根操作系统)都相当于是虚拟机。Hyper-V,VMware ESX,Xen,K
阅读全文
摘要:前言 windows内核中的对象会受到保护,每个对象都有自己的安全描述符(Security Descriptor),安全描述符用来描述此对象可以允许谁,以何种方式访问。而访问这些对象的主体就是进程和线程,每一个进程都有自己的令牌Token,此令牌就是此进程或线程的安全上下文表示此进程或线程属于哪个用
阅读全文
摘要:前言 windows vista版本引入了“受保护进程”的概念(PP),目的是为了保护媒体内容并符合DRM(数字版权管理)要求。Mircrosoft开发了此机制使受信任的媒体播放器可以访问高品质例如蓝光的文件,而防止其他程序访问和复制这些内容。在Windows 8.1(NT 6.3)中又对受保护的进
阅读全文
