futosky的专栏

几个函数，留着查看：1、ObReferenceObjectByHandle：      用来获得一个File Handle对应的FileObject。      FILE_OBJECT fileob;      stat=ObReferenceObjectByHandle(handle,GENERIC_READ,*IoFileObjectType,KernelMode,(PVOID*)&fileob,0);      用在ZwSetInformationFile(IN HANDLE FileHandle, 

这次的胡乱探究原因在于看到了一个08年的帖子： · 标 题：HOOK SwapContext 枚举隐藏进程(学习笔记4) · 作 者：bzhkl · 时 间：2008-12-11 12:01 · 链 接：http://bbs.pediy.com/showthread.php?t=78464 都是很老的东西了，可惜很菜才开始关注 这篇帖子讲了HOOK SwapCo

//参考：combojiang: http://hi.baidu.com/combojiang/blog/item/bfa7a6d9f1c913ee38012f28.html // combojiang: http://hi.baidu.com/hu3167343/blog/item/3fb1cc91e9582507d31b7023.html // combojia

/* 栈回溯目的： 已知函数B调用函数A，现欲得到函数B的地址，则可以inline hook A,在fake_funcA内部进行栈回溯,最终得到B的地址 */ /* 使用OLLAYDBG跟踪~ 本练习程序的 A函数地址：0x00401005 JMP TO 0x00401030真实的A函数地址 B函数地址：0x0040100A JMP TO 0x00401070真实的B函数地

//用于inline hook #include KIRQL Irql; extern PEPROCESS pEprocess; /******************************************************************************************/// hook MmIsAddressValid ULONG g_