摘要： http://www.cnblogs.com/yifi/p/6480704.html 利用LoadImageNotify回调拦截DLL加载，1.这个时候写内存有可能导致死锁；2.DLL被拦截一次之后，重启前再也无法加载 最简单的方法，拦截IRP_MJ_CREATE，发现带FILE_EXECUTE属性 阅读全文

摘要： http://bbs.pediy.com/thread-145687.htm http://www.pediy.com/kssd/pediy11/104918.html KeUserModeCallback的基础知识我们都知道一个普通的系统调用，它的过程大概是这样的(以OpenProcess为例)： 阅读全文

摘要： PEB >LDR >InLoadOrderModuleList 通过循环遍历LDR_DATA_TABLE_ENTRY中的BaseDllName找到Kernel32.dll找到Dll ntdll!_LDR_DATA_TABLE_ENTRY +0x030 DllBase得到文件内存首地址通过PE文件导入 阅读全文

摘要： // Class.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include <iostream> #include <Windows.h> using namespace std; class Base //Derive的间接基类 { public: 阅读全文

摘要： 在X86Windows中，函数通过以下步骤来参与SEH： 1.在自身的栈空间中分配并初始化一个EXCEPT_REGISTRATION（_RECORD）结构体。 2.在该EXCEPTION_REGISTRATION（_RECORD）挂入当前进程的异常链表。 当某个函数触发异常时，系统首先通过调用KiD 阅读全文

摘要： 参考链接:http://www.dewen.net.cn/q/302/ INT 0x2E在系统调用的时候，需要进行栈切换的工作。由于Interrupt/Exception Handler的调用都是通过 call/trap/task这一类的gate来实现的，这种方式会进行栈切换，并且系统栈的地址等信息 阅读全文