qq_43147121的博客

这也就导致了ssdthook可以挡下大部分的api调用，那如果我们进0环走另外一条路线的话不通过ssdt就可以做到规避掉hook而且也很难被人找到。7.恢复到原始的irql，防止后面读取目标进程内存时缺页无法换页上来，此时我们已经挂靠到了目标进程所以即便被线程切换也不会导致cr3被更新回去。驱动的样例代码如下，这里我直接用我前几个博客里用的那个架子来改了代码里也能会有一些用不到的全局变量大家不用管就行。8.读取目标进程的内存将要读取的内容放到0环空间暂存。1.定义读取目标内存的函数。

今天说一下利用TLS提供的静态绑定回调函数来反调试。

我们今天通过一个简单的测试代码来了解一下模块注入的大体流程。这个模块中主要是创建了一个静态线程对象，循环打印内容。注入的目标是将我们的代码注入到目标进程的地址空间中。首先是没有注入的时候就是一直在打印。下面来看一下我们要注入的模块代码。然后是我们要注入的目标进程的代码。这个代码也很简单，就是循环打印。然后是存放我们的注入动作的代码。接下来我们来看一下注入的效果。

我们重设的eip可以指向我们插入的内存或是注入的dll地址，在执行我们的代码后在跳转回原先的eip位置（这里有很多种方式，也可以继续上面的操作吧eip设回去，也可以通过远跳转回去都可以）通过Windows提供的获取线程上下文api可以获取到线程当前的寄存器信息，这样我们就可以先暂停线程然后重设eip的值然后将我们更新后的上下文设置到线程里，在让其运行起来。：此函数用于减少目标线程的挂起计数，是其恢复争抢时间片。：此函数用于让目标线程挂起。：此函数用于获取线程上下文。：此函数用于重设线程上下文。

字符编码计算机中的存储是以字节为单位的，能反映的也仅仅是数字而已，为了能够用数字将文字信息反映出来人们设计出了各种字符编码表，将数字与文字对应。一、ASCI编码1.原始Ascii编码原始ASCI使用1到127（0X00~0X7F）来对应常用的一些字母等文本，127到255则是扩展到一些不常用的类似于=号这种内容。但原始ASCI所支持的字符仅仅能够反映英文国家的使用场景。2.ASCI扩展编码对于某些地区是无法用原始ASCI编码来反映当地的语言的，所以就有了ASCI扩展编码的这种形式。扩展ASI

Windows内存管理

Windows API逆向

WindowsAPI逆向分析系列-virtualfree函数逆向