xrain_zh的专栏

来自：http://blog.youkuaiyun.com/sysprogram/article/details/5805265以NtOpenProcess和ZwOpenProcess为例，结合Windbg的lkd调试来说明1、Q：ntdll.dll中的Nt*和Zw*区别？lkd> u ntdll!zwopenprocess l4ntdll!ZwOpenProcess:7c

Windows定义了两种访问模式：用户模式和内核模式。应用程序代码运行在用户模式下，操作系统代码运行在内核模式下。内核模式对应处理器的最高权限级别。在内核模式下执行的代码可以访问所有资源并可以执行所有特权指令。用户模式具有较低的优先级，用户模式只能访问用户空间，且不能执行特权指令。如果用户代码不慎访问了系统空间的数据或执行了特权指令将会导致保护性异常的发生。但是用户代码可以通过调用系统服务

来自：http://blog.youkuaiyun.com/jepco1/article/details/5531449过NtOpenProcess保护的方法总结，搜集了一下网上的方案，自己整理了一下。一般的保护程序喜欢在NtOpenProcess中设置inline hook，修改返回句柄。调试程序使用该程序附加附加到被保护进程的时候，就得不到正确的进程访问句柄，因而附加失败。反此类保

目录(?)[+]1. 概述从 windows xp 和 windows 2003 开始使用了快速切入内核的方式提供系统服务例程的调用。KiFastCallEntry() 的实现是直接使用汇编语言，C 语言不能直接表达某些操作。我从 windows 2003 里反汇编出来，写成 C 伪码形式，点击这里察看：KiFastCallEntry()在下面的篇章里，我将分析从 Wi

保护模式内存管理保护模式及其编程——分页机制保护模式编程——保护的详尽意义：通过调用门转移特权级保护模式及其编程——任务管理任务门，调用门，中断门，陷阱门CPL DPL RPL的区别 &&一致性代码段和非一致性代码段保护模式编程之（一）——分段机制与GDT/LDT【原创】