Catch me if you can

API了解的多了，很容易混乱，在调试一节中，提到打开进程和创建进程。 从名字上来说，创建进程，就是创建了一个新的进程，而打开进程，是为了获取已经运行了的进程的句柄。MSDN解释，说的很清楚OpenProcessfunction: Opens an existing local process object.return: If the function succeeds, the return

windows app helloworld 框架，消息机制

关于PE结构导入表，以前只是手动分析，没有通过编程来实现。而且PE文件结构，不巩固的话，一段时间之后就会忘记，所以记录下这次试验，为IAT挂钩做好准备，也算是复习一下。测试环境：windows xp sp3

dll注入很有意思，它最大的优势在于一旦这个dll被注入，就可以访问宿主程序整个内存空间。因此直接的操作dll是可以达到间接操作目标宿主程序的作用。这次继续使用CILHook类，不过这次是在目标程序内使用，而不是像1一样自己跟自己玩。

每个程序都有_eprocess，里面有pid和程序名。最重要的是有一个当前系统活动进程链表，通过对此链表的遍历，可以找到下一个进程eprocess节点，所以就可以对系统进程进行遍历了。

summary onewindows services 的操作核心包括： 1. 注册服务 createService 2. 启动服务 startService 3. 停止服务 ControlService(...,SERVICE_CONTROL_STOP,....) 4. 注销服务 deleteService 只有注册了服务，系统中才能够查看到服务。注册后的服务，无论是否停止、运行、暂停

1.符号的说明2.通信IRP的说明与注册3.demo的实现。4.总结一下自己的错误。