qing666888的专栏

译者：myswsun预估稿费：300RMB投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿0x00 前言进程注入是一种广泛应用于恶意软件和无文件攻击中的逃避技术，这意味着可以将自定义代码运行在另一个进程的地址空间内。进程注入提高了隐蔽性，也实现了持久化。尽管有非常多的进程注入技术，但是本文我只列举了10种常见的技术。我还提供了这些

原版地址：http://www.codeproject.com/threads/winspy.asp?df=100&forumid=16291&select=1025152&msg=1025152下载整个压缩包下载WinSpy 作者：Robert Kuster翻译：袁晓辉（hyzs@sina.com）摘要：如何向其他线程的地址空间中注入代码并在这个线程的上下

算是复习了，最经典的教科书式的Dll注入。总结一下基本的注入过程，分注入和卸载注入Dll：1，OpenProcess获得要注入进程的句柄2，VirtualAllocEx在远程进程中开辟出一段内存，长度为strlen(dllname)+1;3，WriteProcessMemory将Dll的名字写入第二步开辟出的内存中。4，CreateRemoteT

HOOK技术主要分为两大类，一是内核层HOOK,一是用户层HOOK. 用户层HOOK也就是在ring3环境下hook kenerl32.dll、User3.dll、Gui32.dll、Advapi.dll等导出的函数。而内核层HOOK就是HOOK只有ring0级别环境下才能操作写入改变的内核对象，例如SSDT系统服务描述符表等。综合而言，主要有以下9种HOOK技术。(1)消息钩

DetoursDetours是经过微软认证的一个开源Hook库，编译好的下载地址：https://download.youkuaiyun.com/download/qing666888/10593942 Detours 4.0.1现在是MIT许可下的开源软件。Detours在GitHub上，网址为https://github.com/Microsoft/Detours。源代码与Detours 3...

Hook之前要干掉PG：http://www.m5home.com/bbs/thread-5893-1-1.html上篇文章知道了寻找SSDT表的方法，这篇记录一下如何实现SSDT表的Hook。下面以Hook NtOpenProcess为例，之前我查SSDT表发现NtOpenProcess函数的标号为35，用XT等工具也能查看。废话不多说，上代码。首先感谢老大（Tesla.An...

最近在学习64位驱动，涉及到了SSDT的知识，结果发现64位下的SSDT和32位下的SSDT有所不同。开始发现64位下的KeServiceDescriptorTable是未导出的函数。首先要找到KeServiceDescriptorTable的地址。方法1：读取c0000082寄存器kd> rdmsr c0000082  msr[c0000082] = fffff800`...