xf555er的博客

远程线程注入是一种技术，可以将一个动态链接库（DLL）注入到另一个进程的地址空间中，并在该进程中创建一个远程线程来执行该 DLL 中的代码。这种技术通常用于恶意软件攻击，也可以用于调试和监视进程。远程线程注入涉及到许多操作系统底层的概念，包括内存映射、线程创建、函数调用等等。为了成功进行远程线程注入，攻击者需要克服许多障碍，例如安全软件、权限限制、代码签名等等。

动态链接库（Dynamic Linking Library），也被称为共享库（Shared Library），是一种可以在运行时动态加载并链接的库文件。与静态链接库不同，动态链接库的代码在程序运行时才会被加载到内存中，因此动态链接库相对于静态链接库来说更加灵活，且不会使目标可执行文件变得过于庞大使用动态链接库的可执行文件在运行时需要依赖相应的动态链接库文件（通常是以.dll为后缀名），因为动态链接库的代码在程序运行时才会被加载到内存中。

卷是操作系统对磁盘分区的逻辑抽象，可以看作是磁盘分区的容器。在一个物理磁盘中可以分为多个卷，每个卷可以分配不同的文件系统，从而实现对数据的管理和存储每个卷都有一个唯一的卷标识符，可以通过这个标识符来访问和管理它的数据。

私有内存指的是进程在运行过程中使用的内存空间，只有该进程能够访问和操作这部分内存，其他进程无法直接访问和修改该进程的私有内存空间，这为进程提供了一定的安全性和隔离性。通常使用函数申请的内存属于私有内存共享内存是一种用于实现进程间通信的机制，它允许多个进程访问同一块物理内存，从而达到共享数据的目的。通常使用CreateFileMapping函数申请的内存属于共享内存。

消息处理函数用于处于各种事件消息的函数，也称为窗口过程函数。当一个窗口收到一个事件消息时，Windows操作系统会调用该窗口的消息处理函数来处理该消息LRESULT CALLBACK WndProc(HWND hWnd , //窗口句柄 UINT message , //消息类型 //wParam和lParam是消息的参数 WPARAM wParam , LPARAM lParam)

线程上下文（Thread Context）是指在一个线程中，当前执行代码的相关信息集合，包括寄存器状态、程序计数器、线程优先级、线程的上下文安全堆栈等等。要注意的是，若要获取线程上下文信息，需要先将线程挂起。当多个线程同时使用同一个资源(全局变量)时, 很可能会出现某些错误, 这时我们可以将这个资源变成临界资源, 然后通过临界区来使用这个临界资源临界区（critical section）是操作系统用于同步线程之间访问共享资源的一种机制，是一段被保护的代码区域。

句柄表（Handle Table）是Windows内核中的一个重要数据结构，用于存储内核对象的句柄（Handle），包括进程、线程、文件、事件、互斥体等。每个进程都有一个句柄表，这个表存储了当前进程所拥有的所有内核对象的句柄，通过这些句柄可以访问相应的内核对象如下图所示, 每个进程都在内核区域都会有一个EPROCESS对象(内核进程对象), 在这个进程里执行了四个函数, 分别是CreateFile，执行这些函数的同时, 也会在内核区创建相应的对象。

在计算机操作系统中，进程是正在运行中的程序的实例。进程是操作系统进行资源分配和管理的基本单位，包括内存、文件句柄、系统状态等。每个进程都有自己的独立内存空间和运行状态，因此它们不会互相干扰，也不会互相影响。多个进程可以在操作系统上同时运行，每个进程都在自己的空间里执行自己的代码。

ASCII编码是一种最早出现的字符编码方案，它是由美国标准化协会（ASA）于1963年制定的标准，用于在计算机系统中表示英语文本字符集。ASCII编码仅使用7位二进制数（共128个），用于表示英文字母、数字、标点符号以及一些控制字符，例如换行、回车、制表符等。这个编码方案中，每个字符都被分配一个唯一的编号，称为ASCII码值。由于ASCII编码仅支持128个字符，因此它无法表示其他语言（如汉语、日语等）所需的字符。