kingswb的博客

http://www.ant315.com/read.php?tid=580 本文以获取NtReadVirtualMemory讲述当该函数被HOOK后如何获取到正确的地址为例，解析获取原始内核函数地址的一种思路。思路虽然比较笨拙，但是也不失为一种解决办法。    图片:1.bmp  上图中NtReadVirtualMemory函数被hook了，如果我们从SSDT表获

枚举进程句柄File,Section,Mutant,Timer关闭Mutex句柄实现游戏多开 2013-09-03 01:41 472人阅读 评论(0) 收藏 举报   标 题: 枚举进程句柄File,Section,Mutant,Timer关闭Mutex句柄实现游戏多开 作 者: Y4ng 时 间: 2012-09-06 19:50:32 星期四 链 接: http:

KdInitSystem  函数让内核调试引擎初始化 KiDebugRoutine  当系统分发异常时会调用KiDebugRoutine变量所指向的函数 KiDebugRoutine写入函数地址KdpStub(禁止调试) /KdpTrap(开启调试) KeUpdateRunTime  系统的时间更新函数 KdCheckForDebugBr

分类：技术汇编 源代码：http://download.youkuaiyun.com/detail/hitetoshi/3633188         绝影做尘，铁甲四方逐鹿而争。风起云涌，八面九锡更兼策马奔。南面独傲，铜雀二乔，欲休却报诏到。假节钺，赞拜不名，剑履入殿谁能？青梅煮酒，本初不数，惊起雷霆咋休。玺绶之册，即阼亦重，却累身三秋。观之沧海，星汉一粟，不道身成五彩。隔江叹：景升之子，豚犬之流。

分类： 技术--汇编   hookattributeswindowsobjectnull测试       今天这一章，我们就完成HookSSDT中NtCreateThread的代码，在原来的DynamicHook.asm文件的HookNtCreateThread中加入了如下的代码： HookNtCreateThread  proc     local   dwNtCreat

汇编语言dllmakefilewindows杀毒软件       （转载请注目博客地址：http://blog.youkuaiyun.com/hitetoshi）     尝试向大家介绍一种新的技术，我把他叫做“动态感染”，也许这样命名不规范，但我至今仍未找到对这一技术的比较科学合理的命名方式。所以姑且把它叫做“动态感染”吧。     所谓的“感染”大家应该比较熟悉，它的原理是在一个P

汇编语言ddkmacrosincludeservice           这一章我们用汇编语言编写一个最简单的内核程序，我们所要完成的所有功能以后都将在今天这个程序的基础上进行增加。         也许有些人已经使用DDK作过Windows下内核程序的开发，使用DDK的确是比较好的做法，因为DDK的编译、连接选项都是专门针对内核程序，而且DDK中提供了许多宏，对内核函数的调用和其

imageheaderstringdoshookfile       （转载请注明博客地址：http://blog.youkuaiyun.com/hitetoshi）     前面我们经常提到SSDT，那么什么是SSDT呢？SSDT（SystemServices Descriptor Table）：系统服务描述符表。要对它有清楚的认识，我们先以用户态下调用CreateThread来举个例子。

转载自： http://blog.youkuaiyun.com/wjcsharp/article/details/6161712   DbgPrint会发送一个消息给内核调试器。 DbgPrint and DbgPrintEx can be called at IRQL. However, Unicode format codes (%wc and %ws) can be used only a