摘要： 先前颇为流行的窗口挂钩、API挂钩、进程注入等技术已然成为昨日黄花，大有逐渐淡出之势；取而代之的，则是更狠毒、更为赤裸裸的词汇：驱动、隐藏进程、Rootkit……” 确实，如今加壳技术都已经是自己写虚拟机加壳，游戏反外挂也是所谓的NP反外挂系统基于操作系统Ring0内核，杀毒软件得也是，就连如今病毒也是基于驱动的了。正所谓 “从ring3（应用层）的... 阅读全文

摘要： 1,SSDTSSDT即系统服务描述符表，它的结构如下(参考《UndocumentWindows2000Secretes》第二章):typedefstruct_SYSTEM_SERVICE_TABLE{PVOIDServiceTableBase;//这个指向系统服务函数地址表PULONGServiceCounterTableBase;ULONGNumberOfService;//服务函数的个数,Nu... 阅读全文

摘要： 代码的既乱又烂,将就下~_~.原理是枚举_ethreadvs2008+ddkwizard写的extern"C"{#include<ntddk.h>}#defineOBJECT_HEADER_SIZE0x018#defineOBJECT_HEADER_TYPE_OFFSET0x008#defineETHREAD_CID_OFFSET0x1ec#defineETHREAD_STARTADD... 阅读全文

摘要： 写这类的程序关键是封了进入ring0的方法 守住ring0这块高地 其它的什么都不怕.......通过ssdt hook实现 对进程创建,注册表修改和内核模块加载的监控...创建进程：hook 了ZwCreateProcess 其实很多方法不用调用ZwCreateProcess而创建进程， 更好的办法是再hook NtCreateSection具体参考codeproject上的文章Hooking ... 阅读全文

摘要： 尝试运行命令行"sfc /scannow"，检查一下系统文件，可以发现病毒文件。 阅读全文