摘要： 在内核中 进程是靠EPROCESS来识别的 dt _EPROCESS fffffa801aaecb30 nt!_EPROCESS +0x000 Pcb : _KPROCESS +0x160 ProcessLock : _EX_PUSH_LOCK +0x168 CreateTime : _LARGE_INTEGER 0x1d298d... 阅读全文

摘要： 参考链接：http://www.cnblogs.com/HsinTsao/p/6399459.html 自己感觉这个方法不行 阅读全文

摘要： Github上看到的一个Demo:https://github.com/cetfor/AntiDBG 检测一个Demo是否被调试 无非就是从四个方面进行入手: 内存 通过查询窗口、父进程、PEB、DbgPort等标志位检测 CPU 通过CTX标志位进行判断 时间 通过比较时间确定是否被调试 异常　各 阅读全文

摘要： 断断续续看了两个月，终于基本上理解了VT，这个理解能力也是够了。 参考程序：VT_demo、HyperBone、VirtualDbg、VirtualDbgHide 这几个程序在Github上都可以下到 由于阅读别人的源码 就不放了 今天终于程序中悟出了VT的皮毛 纪念一下。 阅读全文

摘要： 这份代码终于理解了dfs 阅读全文

摘要： http://www.pediy.com/kssd/pediy11/111876.html 三种断点分别对应的异常类型及处理： 1. 软件断点（INT3）：对应的异常是 EXCEPTION_BREAKPOINT，处理方式为恢复代码为原来字节，并将EIP减一，并设置单步以便进入单步后重新设置这个一般断 阅读全文

摘要： 一、套接字模型 Winsock以两种模式执行I/O操作：阻塞和非阻塞。 在阻塞模式下，执行 I/O 的 Winsock 调用（如 send 和 recv） 直到操作完成才返回。在非阻塞模式下，Winsock 函数会立即返回。 1）阻塞模式 套接字创建时，默认工作在阻塞模式下。例如，对 recv 函数 阅读全文

摘要： 1 #include "../common/InitSock.h" 2 #include <stdio.h> 3 CInitSock initSock; // 初始化Winsock库 4 int main() 5 { 6 // 创建套接字 7 SOCKET sListen = ::socket(AF 阅读全文

摘要： http://www.cnblogs.com/yifi/p/6480704.html 利用LoadImageNotify回调拦截DLL加载，1.这个时候写内存有可能导致死锁；2.DLL被拦截一次之后，重启前再也无法加载 最简单的方法，拦截IRP_MJ_CREATE，发现带FILE_EXECUTE属性 阅读全文

摘要： http://bbs.pediy.com/thread-145687.htm http://www.pediy.com/kssd/pediy11/104918.html KeUserModeCallback的基础知识我们都知道一个普通的系统调用，它的过程大概是这样的(以OpenProcess为例)： 阅读全文