~~~jesse的专栏

先说明。原发者iso9001 http://www.ghoffice.com/bbs/read.php?tid-35165.html他提供的地址（当他是个指针好了:P）http://ajiannet.cnblogs.com/下边是我看到的一个很经典对于汇编 。堆栈的说明。通俗易懂。[汇编学习]献给汇编初学者－函数调用堆栈变化分析（转自黑客风云) 跟一个朋友谈堆栈的时候 就写下了这段文字，顺便发到这

1.使用工具Syser 1900.1178、Kernel Detective v1.3.02 结果 2）kd1.3图黄色高亮 122索引号Ntopenprocess 地址和上图一样。

//禁止记事本结束 inline hook成功，原来的抄袭代码似乎有问题，不知道是不是环境问题：xp sp3+VM+双核CPU //ObReferenceObjectByHandle是ntoskrnl.exe导出函数，采用HOOK前五个字节的方式#include #define dprintf DbgPrint#include  #include //字节型数据  un

IDT检测

【文章标题】: 为OllyIce增加附加隐藏进程的功能----PeDiy入门教程 【文章作者】: 笨笨雄【作者邮箱】: nemo314@gmail.com【工具】:OllyIce  PE Tools最近学习脱壳，喜欢上了Attach法到OEP，这样有很多好处，但是局限性也很大，例如隐藏进程。有留意过一些手动查杀木马的朋友一定有看过使用Ntsd ?P PID Q命令关进程的文章，Ntsd其实就是系统

项目刚完, 比较空闲, 翻出以前写的一个DDK辅助定义文件, 自己命名为ntddkex.h, 主要给出xpsp2的未公开核心数据结构的定义(_EPROCESS etc.).没法上传附件, 直接贴在下面:// ntddkex.h////////////////////////////////////////////////////////////////////////////

================================VirtualKD+Windbg+vmware=========================================================双机调试的时候，不管是Windbg+vmware,还是Windbg+1394,其调试速率都是相对比较低的，有时候执行一条p命令，Windbg的状态都会BUSY..好久...