LYSM

背景在编写程序的时候，可以在 vs 里的链接器中设置 UAC：但其实还有一种方式可以加入 UAC 图标，只需要修改文件的属性即可。过程参考转自：https://www.zhihu.com/question/27895048/answer/38533509Windows Vista Application Development Requirements for User Account Control (UAC)如果是安装程序会适用installer detection。我把家里压箱底的星际光盘

什么是 explorer.exeexplorer.exe 是 Windows 的默认 Shell，而 Shell 是操作系统提供给用户的交互程序。Shell 直译就是壳，即内核外层的东西。Shell 分为两种：图形 Shell （cmd.exe，powershell等）命令行 Shell（桌面，任务栏，开始菜单等）explorer.exe 的职责explorer 其实就是系统自带的图形界面版内核与用户交互软件，正常 Windows 上一切的应用都需要通过 explorer 直接或者间接打

进程的地址空间以32位系统为例，进程的4GB虚拟内存中有一半属于用户空间，一半属于内核空间。用户空间地址范围是64kb---->0x80000000-64kb（所以才会有空指针异常，因为0x0这个地址用户空间不能访问，0~64kb属于保留区），系统地址范围是0x80000000---->0xffffffff。另外内核空间的0xffdf0000 与用户空间的0x7ffe0000区域共享。具体分布情况如下（从低到高）：位置内容64kb保留区/禁区64kb环境变量

背景在没有引入虚拟内存概念之前，程序的寻址范围是有限的， 比如32位系统的固定寻址范围是 4GB，如果没有虚拟内存，每打开一个进程都要分配 4GB 的物理内存，那么所有的内存资源就会被很快消耗完，如果此时再有新的进程被创建，就只能进入等待状态。另外由于指令都是直接访问物理内存的，那么我这个进程就可以修改其他进程的数据，甚至会修改内核地址空间的数据，这是不安全的。引入虚拟内存后，每个进程被创建后都会被分配一个4GB的虚拟内存， 通俗点讲就是每个进程都认为自己拥有4G的空间，但实际在虚拟内存对应的物理内存

背景一个线程由用户态进入内核态的途径有3种典型的方式：通过 int 0x2e（软中断自陷） 或 SysEnter （快速系统调用），主动进入内核。引发异常或硬件中断，被迫进入内核。通过 int 0x2e 进入内核（xp以下）一般 R3 的 API 最终都会去调用 NT 函数，在 NT 函数中根据该 API 对应的索引号去 SSDT / SSDT Shadow 中查找对应的方法，最后通过 SSDT / SSDT Shadow 进入内核。...

什么是内核对象Windows 中一切皆为 对象，Linux 中一切皆为 文件。内核对象是 Windows 用来管理资源的一种 数据结构内核对象分类访问标记对象注册表键对象调试对象目录对象符号链接对象事件对象文件对象文件映射对象IO完成端口对象LPC端口对象作业对象邮槽对象进程对象线程对象令牌对象时钟对象线程池对象互斥对象管道对象信号量对象...

WRK（windows Research Kernel ） 是微软公开的一部分 windows 内核源码，用来供给开发人员学习。下载地址：http://www.awarenetwork.org/home/iqlord/other/wrk.rarReactOS 是一个开源项目，通过逆向来兼容 windows 系统，相比 WRK 代码更全面但 bug 也多。下载地址：https://sourc...

原文出处：http://www.360doc.com/content/19/0718/17/65396457_849599208.shtml欢迎大佬们再补充…1、Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cur...