本文章翻译自Robet Kuster的Three Ways to Inject Your Code into Another Process一文，原版地址见下面。本文章版权归原作者所有。    如果转载该译文,请保证文章的完整性，并注明来自www.farproc.com袁晓辉   2005/5/20原版地址：http://www.codeproject.com/threads/winspy.a

标 题: 【原创】反NP监视原理(+Bypass NP in ring0)作 者: 堕落天才时 间: 2007-01-03,11:58链 接: http://bbs.pediy.com/showthread.php?t=37353NP=nProtect GameGuard(如果你不知道这是什么，请不要往下看)********************************************标

标 题: 【原创】必备绝技--Hook大法( 上 )作 者: Lvg时 间: 2007-04-08,22:23链 接: http://bbs.pediy.com/showthread.php?t=42362【文章标题】: 必备绝技--Hook大法（上）【文章作者】: LvG【作者邮箱】: LvG2008@gmail.com【作者声明】: 这没有什么新鲜东西，其内容全部来自于前辈，姑且当作学习笔记。

转自bujin888 第一个版本        HShield反外挂方式应该向进程插入他们的反外挂钩子  拦截我们做外挂的必要函数        我当时突破方法是ROOKIT技术,隐藏进程!第二个版本        HShield利用消息全局钩子插入他们的反外挂钩子 ,我是拦截了LOADLIBARY到        自己的处理函数拒绝了他家反外挂钩子进入第三个版本       他家在LOADL

标 题: 监视远程线程的创建作 者: 一块三毛钱时 间: 2005-02-21,15:23链 接: http://bbs.pediy.com/showthread.php?t=11347监视远程线程的创建作者: 一块三毛钱邮件: zhongts@163.com日期: 2004.12.29    远程线程技术被大量的使用在木马、蠕虫等软件当中，通过在别的进程中插入线程的方式运行代码，具有相当高的隐蔽

标 题: 【原创】如何在NP下读写游戏内存及如何进入NP进程作 者: 堕落天才时 间: 2007-01-04,13:28链 接: http://bbs.pediy.com/showthread.php?t=37417*******************************************************标题:【原创】如何在NP下读写游戏内存及如何进入NP进程 **作者:堕落天

标 题: 【原创】另一种sysenter hook方法(绕过绝大多数的rootkit检测工具的检测)作 者: 堕落天才时 间: 2007-04-14,11:09链 接: http://bbs.pediy.com/showthread.php?t=42705************************************************************************

标 题: 【原创】必备绝技——hook大法( 中 )作 者: Lvg时 间: 2007-04-09,23:37链 接: http://bbs.pediy.com/showthread.php?t=42422【文章标题】: 必备绝技——hook大法( 中 )【文章作者】: LvG【作者邮箱】: LvG2008@gmail.com【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!--

一种可以穿透还原卡和还原软件的代码（那个的确是很老的东西但是很有用。）创建时间：2003-12-07文章属性：原创文章提交：wind_men (tyhhyf_at_hotmail.com)一种可以穿透还原卡和还原软件的代码CVC/GB  风般的男人还原卡和还原软件被广泛运用于各种公共场合的电脑上，比如学校机房和网吧。这些还原卡和还原软件（以下我简称为虚拟还原技术）能够记录下一切对硬盘的写操作，不论

标 题: 【原创】ring0检测隐藏进程作 者: 堕落天才时 间: 2007-05-10,13:28链 接: http://bbs.pediy.com/showthread.php?t=44243//网上得到一篇好文章 Ring0下搜索内存枚举隐藏进程 ，但是拿里面的代码来使用的时候发现并没有太多效果//于是修

四种方法实现VC枚举系统当前进程中关村在线 【合作】 作者： 2005年04月27日 18:03 var fo = new SWFObject("http://pic.zol.com.cn/200704/mrs_systemcenter_clock_210x210_20k_0401.swf", "_AD5954", "210", "210", "7");fo.addPa

用 SEH 技术实现 API Hook(作者：罗聪) 下载本节例子程序和源代码 (5.21 KB) 阅读本文之前，我先假设读者已经知道了 SEH 和 API Hook 的基本概念，因为我不打算在此进行扫盲工作。什么？你不懂什么叫 SEH 和 API Hook ？那……先去找点资料看看吧，到处

现在很多人对rootkit认识不够，可以说空白。而此文的目的就是让大家认识rootkit→了解rootkit。也让一些想研究它的人把这篇文章当作一个参考或是入门级的指导。************************************************************转载请保留文章完整，谢谢！ *Date:2005/9/11 祝童童生日快乐。也纪念世贸大厦 *作者:sunwe

===================[ 在NT系列操作系统里让自己“消失”]==================                                               SoBeIt            作者：Holy_Father             版本：1.2 english            日期：05.08.2003=====[ 1. 内容

===========================[ 挂钩Windows API ]==================                                    SoBeIt                       Author:  Holy_Father                        Version: 1.1 english         

发布日期：2005-06-08更新日期：2005-06-08受影响系统： Kaspersky Labs Kaspersky Antivirus 5.0.335Kaspersky Labs Kaspersky Antivirus 5.0.228Kaspersky Labs Kaspersky Antivirus 5.0.227描述： BUGTRAQ  ID: 13878Kaspers

绕过Windows Rootkit检测系统                SoBeIt                Edgar Barbosa                embarbosa@yahoo.com     [介绍]    PatchFinder是一个设计很巧妙的程序，基于EPA(执行路径分析)技术用来检测侵入内核的Rootkit。附录1和2可以让你了解它是如何工作的。这篇文章将提

转自啊D原文出处：http://www.codeproject.com/system/hooksys.asp    拦截win32 API 调用对于多数windows开发人员来说都一直是很有挑战性的课题，我承认，这也是我感兴趣的一个课题。钩子机制就是用一种底层技术控制特定代码段的执行，它同时提供了一种直观的方法，很容易就能改变操作系统的行为，而并不需要涉及到代码。这跟一些第三方产品类似。   

绕过内核调度链表进程检测文章：SoBeIt (kinsephi_at_hotmail.com)绕过内核调度链表进程检测                                                                                               SoBeIt    一般隐藏进程的方法实际是无法彻底隐藏进程，因为内核调度是基于线程的。下面

标 题: 【原创】SSDT Hook的妙用－对抗ring0 inline hook作 者: 堕落天才时 间: 2007-03-10,15:18链 接: http://bbs.pediy.com/showthread.php?t=40832********************************************************标题:【原创】SSDT Hook的妙用－对抗rin