u014738665的博客

参考资料：1、模块、进程、线程回调函数的逆向2、一字节anti创建进程线程等回调1、清空全局变量PspNotifyEnableMaskPsSetCreateThreadNotifyRoutine、PsSetCreateProcessNotifyRoutine、PsSetLoadImageNotifyRoutine2、注册无用回调函数占坑，因为注册回调有最大限制例如PsSetLoadImageNotifyRoutine最大拥有8个回调...

参考文档：保护模式-分页管理机制启用PAE后虚拟地址到物理地址的转换Windows虚拟地址转物理地址（原理+源码实现，附简单小工具）首先查看CR4寄存器第5位为1说明开启了PAE转换规则如下：规则:每个项的长度为8VA为2位：（30—31）页目录指针表的索引9位：（21—29）页目录表索引9位：（12—20）页表索引12位：（0—11）页内偏移例如:开启PAE的情况下将计算器进程的入口点0xEC1000转化为物理地址 16进..

参考资料：1、PUBG 2018.3.9更新的代码页防止更改2、通过修改VAD属性破除锁页机制3、R3环申请内存时页面保护与_MMVAD_FLAGS.Protection位的对应关系4、64位CreateProcess逆向:（四）创建进程的过程5、深入浅析Windows内核——VAD篇6、Self-Remapping-Code虚拟机：VM15系统：Win7 32位编译器：VS2019工具：CE6.5代码如下：#include <stdio.h&

将以下内容保存成.REG文件Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Debug Print Filter]"DEFAULT"=dword:0000000f