moonlightsunshin的博客

NT函数（即“Native”函数）是微软Windows操作系统内部提供的一组底层系统调用，这些函数位于NT层，也称为Windows NT内核层。这些函数直接与操作系统的内核交互，提供了底层的操作功能，比如内存管理、线程管理、进程创建等。与之相对的是Windows API，后者是为用户应用程序提供的更高级接口。NT函数的调用通常直接通过ntdll.dll库中的相关函数来实现。

Control Flow Guard（CFG）是一种微软引入的防护技术，最早在 Windows 8.1 中加入，并在 Windows 10 及后续版本中得到了加强。它的核心目标是防止程序中的恶意代码劫持控制流，从而实现对系统的恶意操作。在正常程序运行中，程序的控制流（即代码的执行顺序）会根据不同的条件跳转到不同的位置。攻击者通过注入恶意代码或者篡改程序控制流，能够导致程序执行恶意操作，如获取管理员权限、窃取数据等。

在这里我们还需明白几个概念(有C基础跳过) 通过隐藏IAT表可以静态bypass市面上大部分edr。//win32就是使用Windows提供的原生api实现我们的功能。//1、预处理 处理头文件 宏定义。//3、处理汇编 将汇编转成二进制。//2、处理编译 将代码转成汇编。//4、生成link exe。必须要有进程才有线程。