基于pspCidTable的进程检测技术 .

最新推荐文章于 2025-09-24 23:02:04 发布
转载 最新推荐文章于 2025-09-24 23:02:04 发布 · 9.1k 阅读 · 2
文章标签:

#object #table #thread #null #struct #image

本文详细介绍了如何通过内核调试技术获取pspCidTable,进而实现对进程的检测与枚举。通过分析内核函数和内存字节搜索,阐述了pspCidTable的概念及其在进程检测中的应用。同时,提供了多种获取pspCidTable的方法,并对比了几种进程检测技术的效果,最后讨论了对抗pspCidTable技术的策略。
 

基于pspCidTable的进程检测技术

文章作者:gz1x
信息来源:邪恶八进制信息安全团队(www.eviloctal.com

一.     pspCidTable概念及内核调试
二.     获取pspCidTable的方法
三.     几种进程检测方法的对比
四.     anti-pspCidTable技术及其他



一.     pspCidTable概念及内核调试
-----------------------------------------------------

pspCidTable是内核未导出的HANDLE_TALBE结构,它保存着所有进程和线程对象的指针。
只要能遍历这个PspCidTable句柄表,就可以遍历到系统的所有进程,包括所有隐藏进程,除非你抹掉pspCidTable...

结构如下:
typedef struct _HANDLE_TABLE
{
ULONG        Flags;
LONG       HandleCount;
PHANDLE_TABLE_ENTRY **Table;
PEPROCESS    QuotaProcess;
HANDLE        UniqueProcessId;
LONG       FirstFreeTableEntry;
LONG       NextIndexNeedingPool;
ERESOURCE    HandleTableLock;
LIST_ENTRY    HandleTableList;
KEVENT        HandleContentionEvent;
} HANDLE_TABLE , *PHANDLE_TABLE ;

我们利用调试器先从内核里找到这张表:

kd> version
Windows XP Kernel Version 2600 (Service Pack 2) UP Free x86 compatible
Built by: 2600.xpsp_sp2_rtm.040803-2158
Kernel base = 0x804d7000 PsLoadedModuleList = 0x8055ab20
//...
dbgeng: image 6.7.0005.1, built Wed Jun 20 11:50:35 2007
//...

kd> dd pspCidTAble
80560ce0 e10018c8 00000002 00000000 00000000
80560cf0 00000000 00000000 00000000 00000000
80560d00 00000000 00000000 00000000 00000000
80560d10 00000000 00000000 00000000 00000000

kd> dt _HANDLE_TABLE e10018c8
nt!_HANDLE_TABLE
+0x000 TableCode    : 0xe1003000
+0x004 QuotaProcess     : (null)
+0x008 UniqueProcessId : (null)
+0x00c HandleTableLock : [4] _EX_PUSH_LOCK
+0x01c HandleTableList : _LIST_ENTRY [ 0xe10018e4 - 0xe10018e4 ]
+0x024 HandleContentionEvent : _EX_PUSH_LOCK
+0x028 DebugInfo    : (null)
+0x02c ExtraInfoPages : 0
+0x030 FirstFree    : 0x770
+0x034 LastFree    : 0x764
+0x038 NextHandleNeedingPool : 0x800
+0x03c HandleCount    : 266
+0x040 Flags       : 1
+0x040 StrictFIFO    : 0y1

注意NextHandleNeedingPool : 0x800,句柄表依靠NextHandleNeedingPool来计数的,
凡是大于0x800(2048)的部分就放入第二张表中.所以当CID(PID)号大于0x800时,
就需要查找第二张表了.例如要定位CID等于0x844的句柄表位置,
0xe1003800 + ( 0x844 - 0x800 ) * 2 这个偏移就是CID为0x844的句柄项了.

kd> dd e1003000
e1003000 00000000 fffffffe 81fc9a01 00000000
e1003010 81fc9789 00000000 81fc9341 00000000
e1003020 81fc8021 00000000 81fc8da9 00000000
e1003030 81fc8b31 00000000 81fc88b9 00000000
e1003040 81fc8641 00000000 81fc83c9 00000000
e1003050 81fc7021 00000000 81fc7da9 00000000
e1003060 81fc7b31 00000000 81fc78b9 00000000
e1003070 81fc7641 00000000 81fc73c9 00000000

kd> !object 81fc9a01
Object: 81fc9a01 Type: (0081fc90)
    ObjectHeader: 81fc99e9 (old version)
    HandleCount: 1073741824 PointerCount: 33554432

kd> !object 81fc9a00
Object: 81fc9a00 Type: (81fc9040) Process
    ObjectHeader: 81fc99e8 (old version)
    HandleCount: 2 PointerCount: 56

81fc9a00的进程是System...以后的都是其线程。

kd> !object 81fc73c9
Object: 81fc73c9 Type: (0081fc9e)
    ObjectHeader: 81fc73b1 (old version)
    HandleCount: 1879048192 PointerCount: 0

kd> !object 81fc73c8
Object: 81fc73c8 Type: (81fc9e70) Thread
    ObjectHeader: 81fc73b0 (old version)
    HandleCount: 0 PointerCount: 1

kd> !thread 81fc73c8
THREAD 81fc73c8 Cid 0004.003c Teb: 00000000 Win32Thread: 00000000 WAIT: (WrQueue) UserMode Non-Alertable
    80561b7c Unknown
Not impersonating
DeviceMap           e10001e8
Owning Process       81fc9a00    Image:    System
Wait Start TickCount    16940        Ticks: 20342 (0:00:03:23.712)
Context Switch Count    418    
UserTime          00:00:00.000
KernelTime           00:00:03.124
//....

我们可以根据PID查找进程对象.HANDLE_TABLE的Entry地址+PID*2 
在此之前,你可以用:
kd>!process 0 0
枚举所有的进程,然后再根据PID来查找验证。
我们以calc.exe PID738为例:

kd> dd e1003000+738*2
e1003e70 81f15da1 00000000 81ef26e1 00000000
e1003e80 81d1f021 00000000 00000000 00000124
e1003e90 00000000 00000744 00000000 00000150
e1003ea0 00000000 0000075c 00000000 00000750
e1003eb0 00000000 00000760 00000000 00000758
e1003ec0 00000000 00000764 00000000 00000768
e1003ed0 00000000 0000076c 00000000 00000774
e1003ee0 00000000 0000077c 00000000 00000770

kd> !object 81f15da1
Object: 81f15da1 Type: (0081fc90)
    ObjectHeader: 81f15d89 (old version)
    HandleCount: 1073741824 PointerCount: 33554432

kd> !object 81f15da0
Object: 81f15da0 Type: (81fc9040) Process
    ObjectHeader: 81f15d88 (old version)
    HandleCount: 2 PointerCount: 15

kd> !process 81f15da0
PROCESS 81f15da0 SessionId: 0 Cid: 0738     Peb: 7ffd5000 ParentCid: 03ec
    DirBase: 0ddf4000 ObjectTable: e1a222f8 HandleCount: 26.
    Image: calc.exe
//...


二.     获取pspCidTable的方法
-----------------------------------------------------
罗嗦几句,在得到pspCidTable后,我们可以有很多方法来实现枚举。
比如:
1.利用未导出的ExEnumHandleTable函数 ;
2.直接自己获取PHANDLE_TABLE_ENTRY等,然后PsLookupProcessByProcessId ;
回归正题:

1.在PsLookupProcessByProcessId函数中搜索特征串定位 PspCidTalbe.
这个方法也是本人用的方法,代码如下:

void GetPspCidTable()
{
    PUCHAR cPtr;
    unsigned char * pOpcode;
    ULONG Length;

    for (cPtr = (PUCHAR)PsLookupProcessByProcessId;
   cPtr < (PUCHAR)PsLookupProcessByProcessId + PAGE_SIZE;
   cPtr += Length)
    {
   Length = SizeOfCode(cPtr, &pOpcode);     //credit to LDasm.c by Ms-Rem

   if (!Length) break;

   if (*(PUSHORT)cPtr == 0x35FF && *(pOpcode + 6) == 0xE8)
   {
      pPspCidTable = **(PVOID **)(pOpcode + 2);
      break;
   }
    }
}

其中,全局变量:
PHANDLE_TABLE pPspCidTable = NULL;

当然,PsLookupProcessThreadByCid里也是一样的。



2.利用KDDEBUGGER_DATA32结构得到pspCidTable.
流程是这样的:     KdEnableDebugger->KdInitSystem->KdDebuggerDataBlock->KDDEBUGGER_DATA32
   ->PspCidTable
当然也是内存字节搜索,比如006A006Ah,05C6006ah,0e801h,4742444bh,42444b68h等等。

typedef struct _KDDEBUGGER_DATA32 {
    DBGKD_DEBUG_DATA_HEADER32 Header;
    ULONG KernBase;
    ULONG BreakpointWithStatus;    // address of breakpoint
    ULONG SavedContext;
    USHORT ThCallbackStack;       // offset in thread data
    USHORT NextCallback;       // saved pointer to next callback frame
    USHORT FramePointer;       // saved frame pointer
    USHORT PaeEnabled:1;
    ULONG KiCallUserMode;       // kernel routine
    ULONG KeUserCallbackDispatcher; // address in ntdll

    ULONG PsLoadedModuleList;
    ULONG PsActiveProcessHead;
    ULONG PspCidTable;       // <--------- What we need!!
    //...
    ULONG MmLoadedUserImageList;
} KDDEBUGGER_DATA32, *PKDDEBUGGER_DATA32;


三.     几种进程检测方法的对比
-----------------------------------------------------
1.既然要检测隐藏进程,那就先写个简单的隐藏吧。

typedef struct ServiceDescriptorEntry {
   unsigned int *ServiceTableBase;
   unsigned int *ServiceCounterTableBase; //Used only in checked build
   unsigned int NumberOfServices;
   unsigned char *ParamTableBase;
} ServiceDescriptorTableEntry_t, *PServiceDescriptorTableEntry_t;

__declspec(dllimport) ServiceDescriptorTableEntry_t KeServiceDescriptorTable;

嗯,ssdt,hook掉ZwQuerySystemInformation。网上代码多如牛毛,就不多浪费时间现眼了。
if(0 == memcmp(SystemProcesses->ProcessName.Buffer, L"services.exe", 24))
把services.exe藏起来吧...



2.枚举进程,用户态下最多的(包括taskmgr)就是ZwQuerySystemInformation了。
真是哪壶不开提哪壶啊,哈哈...

    ZwQuerySystemInformation(SystemProcessesAndThreadsInformation, pBuffer,
            cbBuffer, NULL);

    PSYSTEM_PROCESS_INFORMATION pInfo =
   (PSYSTEM_PROCESS_INFORMATION)pBuffer;

    for (;;)
    {
   printf("ProcessID: %d (%ls)/n", pInfo->ProcessId,
      pInfo->ProcessName.Buffer);

   if (pInfo->NextEntryDelta == 0)
      break;

   pInfo = (PSYSTEM_PROCESS_INFORMATION)(((PUCHAR)pInfo)
      + pInfo->NextEntryDelta);
    }

分析结果:
================================================
ProcessID: 0 ((null))
ProcessID: 4 (System)
ProcessID: 312 (smss.exe)
ProcessID: 404 (csrss.exe)
ProcessID: 428 (winlogon.exe)
ProcessID: 492 (lsass.exe)
ProcessID: 636 (svchost.exe)
ProcessID: 704 (svchost.exe)
ProcessID: 740 (svchost.exe)
ProcessID: 780 (svchost.exe)
ProcessID: 1004 (explorer.exe)
ProcessID: 1024 (vmsrvc.exe)
ProcessID: 1152 (vpcmap.exe)
ProcessID: 1320 (vmusrvc.exe)
ProcessID: 1512 (svchost.exe)
ProcessID: 1816 (InstDrv.exe)
ProcessID: 1836 (notepad.exe)
ProcessID: 1848 (calc.exe)
ProcessID: 200 (dv.exe)
ProcessID: 344 (InstDrv.exe)
ProcessID: 356 (enumprocsnt.exe)
==================================================
没有services.exe...



3.该我们的 get PspCidTable to ExEnumHandleTable 出马了。
为了方便,代码做了很多简略处理,EnumHandleCallback也没发挥应有的作用,实际的代码中你可以充分利用ExEnumHandleTable,
当然自己遍历表处理结构也是可以的,而且还更好。
我写的代码只为演示PspCidTable,walk list就不繁琐的贴上来了。凑合着看吧 :-)

ULONG GetFunctionAddr(IN PCWSTR FunctionName)
{
    UNICODE_STRING UniCodeFunctionName;
    RtlInitUnicodeString( &UniCodeFunctionName, FunctionName );
   return (ULONG)MmGetSystemRoutineAddress( &UniCodeFunctionName );
}

BOOLEAN EnumHandleCallback(PHANDLE_TABLE_ENTRY HandleTableEntry,HANDLE Handle,
            PVOID EnumParameter)
{
    NTSTATUS ntStatus;
    HANDLE Cid;
    PEPROCESS Process;
    PETHREAD Thread;

    if(EnumParameter== HandleTableEntry)
    {
   return TRUE;
    }
    else
    {     // we ignore the in handle param,use i,j to walk the list
   for(uWalkTableCount=0;uWalkTableCount<0x100;uWalkTableCount++)
   {
      if(HandleTableEntry->Object)
      {
          Cid=(HANDLE)((1024*uWalkTablePage)+(uWalkTableCount<<2));
          //you can take Handle,too;
  
          if (Cid> (PVOID)4)
          {//you can walk the list yourself completely...I&#39;m slothful :-)
         ntStatus = PsLookupProcessByProcessId( Cid, &Process );
         if(NT_SUCCESS(ntStatus))
         {
            DbgPrint("PID:%4d/tNAME:/t%-16s/n",
                Cid, ((PUCHAR)Process+EPROC_NAME_OFFSET) );
            ObDereferenceObject( Process );
         }
          }
          else
          {
         if (Cid== 0)
         {
            DbgPrint("PID:%4d/tNAME:/tIdle/n",0); //简化
         }
         else
         {
            DbgPrint("PID:%4d/tNAME:/tSystem/n",4); //简化,自己EPROCESS吧
         }
          }
      }
   }
   uWalkTablePage++;

   return FALSE;
    }
}

NTSTATUS
DriverEntry( IN PDRIVER_OBJECT DriverObject,
    IN PUNICODE_STRING RegistryPath )
{
    HANDLE h;

    DbgPrint("DriverEntry Loading.../n");
    DriverObject->DriverUnload = DriverUnload;

    ExEnumHandleTable = (EXENUMHANDLETABLE)GetFunctionAddr(L"ExEnumHandleTable");
    if ( ExEnumHandleTable == NULL )
   {
   DbgPrint("Get ExEnumHandleTable Addr Error!!");
   return STATUS_DEVICE_CONFIGURATION_ERROR;
    }
    DbgPrint("Address of ExEnumHandleTable:%x/n",ExEnumHandleTable);

    GetPspCidTable();
    DbgPrint("CidTable:%x/n",pPspCidTable);

    if (!ExEnumHandleTable(pPspCidTable, EnumHandleCallback, NULL, &h ))
    {
   DbgPrint( "HandleTable Found: %lx./n", h );
    }
    else
    {
   DbgPrint( "HandleTable not found./n");
    }

    return STATUS_SUCCESS;
}


分析结果:
==================================================
Address of ExEnumHandleTable:805a4274
CidTable:e10018c8
PID: 0 NAME: Idle
PID: 4 NAME: System
PID: 200 NAME: dv.exe
PID: 312 NAME: smss.exe
PID: 344 NAME: InstDrv.exe
PID: 356 NAME: enumprocsnt.exe
PID: 404 NAME: csrss.exe  
PID: 428 NAME: winlogon.exe
PID: 480 NAME: services.exe
PID: 492 NAME: lsass.exe  
PID: 636 NAME: svchost.exe
PID: 704 NAME: svchost.exe
PID: 740 NAME: svchost.exe
PID: 780 NAME: svchost.exe
PID:1004 NAME: explorer.exe
PID:1024 NAME: vmsrvc.exe  
PID:1152 NAME: vpcmap.exe  
PID:1320 NAME: vmusrvc.exe
PID:1512 NAME: svchost.exe
PID:1816 NAME: InstDrv.exe
PID:1836 NAME: notepad.exe
PID:1848 NAME: calc.exe
Handle Found: bb40.
=====================================================
看起来蛮强大,连死进程也能读出来... :-)



4.ring3下的间接pspCidTable,看代码:

void main()
{
    for (int i=0;i<=65535;i+=4)     //实际上,取到0x4e1c就够了
    {
   if(OpenProcess(PROCESS_QUERY_INFORMATION,FALSE,i)!= 0)
   {
      printf("ProcessID: %d/n",i);
      CloseHandle(&i);
   }
    }

    getchar();
}

很猥琐的代码,哈哈...
想得到更多信息,自己#include "psapi.h",把lib库link上去,然后:
EnumProcessModules,GetModuleFileNameEx,GetProcessImageFileName等等吧...
至于想比较出哪些是隐藏进程或者恶意进程,EnumProcesses或者CreateToolhelp32Snapshot,
得到用户态下的一张表对比就知道了。


分析结果:
=============================================
ProcessID: 4
ProcessID: 200
ProcessID: 312
ProcessID: 344
ProcessID: 356
ProcessID: 428
ProcessID: 480
ProcessID: 492
ProcessID: 636
ProcessID: 740
ProcessID: 852
ProcessID: 1004
ProcessID: 1024
ProcessID: 1152
ProcessID: 1320
ProcessID: 1836
ProcessID: 1848
==============================================
ProcessID: 480,嗯,是services.exe...

其实原理很简单,OpenProcess->NtOpenProcess->PsLookupProcessByProcessId,
反汇编PsLookupProcessByProcessId,有这样一段代码:
mov     eax, large fs:124h
push     [ebp+ProcessId]
mov     esi, eax
dec     dword ptr [esi+0D4h]
push     PspCidTable
call     ExMapHandleToPointer

还原出来是这样的:
PHANDLE_TABLE_ENTRY CidEntry;
CidEntry = ExMapHandleToPointer(PspCidTable, ProcessId);

像PsLookupProcessThreadByCid,PspExitThread,PspCreateThread等也有类似的代码,
但是由于入函数太深,查找不方便。

-----------------------------------
综合起来看,pspCidTable枚举进程还是很成功的,一般的进程隐藏技术都过不了它。 :-)



四.     anti-pspCidTable技术及其他
-----------------------------------------------------

写这篇的原因仅仅是先前有人在maillist上问起,这个技术并不神秘,想anti它很简单,抹掉pspCidTable就行了,
扫描内存得到pspCidTable,然后对应EPROCESS进行分析,找到要隐藏的进程,将相关信息置成0,安放一个进程notify routine。
FUTo的代码一直放着还没看,也不知道是不是其他的思想,有空扫一眼。
文章没提到其他检测技术,比如用activelist,handletable,handletablelisthead获得进程表,
挂钩KiSwapContext,KiService,CreateProcessNotifyRoutine等等...
当然,相应地可以摘除进程控制块中的ActiveProcessLinks里的自己,或者摘除csrss.exe进程句柄表,
再或者挂钩SwapContext,自己实现线程调度...
隐藏进程的方法多种多样,也有很多高深的技术,未公开的技术,谁叫RK和ARK技术总是相生相克的呢...
:-)

yeook
关注
PspCidTable句柄表辅助检测隐藏进程
chinghoi's blog
06-26 2203
一、获取PspCidTable的地址 1.特征码搜索以下几个函数之一提取Call PspCidTable地址: PsLookupProcessByProcessId() PsLookupProcessThreadByCid() PsLookupThreadByThreadId() 0: kd> u PsLookupProcessByProcessId l 20 nt!PsLoo
一款手工杀毒/Anti-rootkit工具-ixer 0.11开源版
chinghoi's blog
06-15 3161
前言:       随着信息科技的迅速发展,Internet已经成为全球最重要的信息传播工具。当人们在享受网络为我们的工作、生活带来方便和效率的同时,但它们潜在地也带来了安全问题。据统计,凡是刚开始接触过互联网的人,大部分人都或多或少的被入侵、恶意攻击过,并且安全威胁事件逐年上升。可见黑客如此猖獗,应该采取什么手段来防止黑客入侵是大家普遍关心的问题。 长期以来,最为严重的安全威胁就是恶意程序。
PsLookupProcessByProcessId 深度解析:Windows内核中的进程猎手
最新发布
fearhacker的专栏
09-24 383
摘要:本文深入解析Windows内核函数PsLookupProcessByProcessId,该函数通过进程ID获取EPROCESS结构体指针。详细介绍了函数原型、参数、返回值、使用场景(如进程信息查询、遍历监控等)及注意事项(引用计数管理、IRQL限制等)。文章包含实战代码示例,并探讨了进阶技巧(如反调试、进程隐藏)和调试方法,同时强调内核编程需谨慎处理权限边界和系统稳定性。警告:本技术仅限合法学习使用,禁止用于非法目的。
x64驱动 遍历 PspCidTable 枚举隐进程和线程
LYSM
06-05 3452
介绍 PspCidTable 是一个内核句柄表,存放进程和线程的内核对象(EPROCESS 和 ETHREAD),并通过 PID 和 TID 进行索引(所以进程ID和线程ID不可能相同),ID 号以 4 递增。 获取 PspCidTable 地址 win7: PsLookupProcessByProcessId(被导出) -> PspCidTable win10: PsLookupProcessByProcessId(被导出) -> PspReferenceCidTableEntry -&g
遍历PspCidTable检测隐藏进程
08-11 471
一、PspCidTable概述 PspCidTable也是一个句柄表,其格式与普通的句柄表是完全一样的,但它与每个进程私有的句柄表有以下不同: 1.PspCidTable中存放的对象是系统中所有的进程线程对象,其索引就是PID和TID。 2.PspCidTable中存放的直接是对象体(EPROCESS和ETHREAD),而每个进程私有的句柄表则存放的是对象头(OBJECT_HE...
内核PspCidTable句柄表遍历获取隐藏进程
CrazyWolf的专栏
09-23 2563
先从WinDBG中来看下PspCidTable. lkd> dd pspcidtable 84196eb4 8ae011c8 00000000 80000018 00000101 84196ec4 800005e0 80000020 00000000 00000000 84196ed4 00000000 00000000 00000000 00000113 84196ee4 0000
[转载]基于pspCidTable进程检测技术
yaneng的专栏
06-18 4447
基于pspCidTable进程检测技术文章作者:gz1x信息来源:邪恶八进制信息安全团队(www.eviloctal.com)一.     pspCidTable概念及内核调试二.     获取pspCidTable的方法三.     几种进程检测方法的对比四.     anti-pspCidTable技术及其他一.     pspCidTable概念及内核调试-----------------
(转)获取 pspCidTable 地址
weixin_30235225的博客
01-25 211
http://hi.baidu.com/zapline/item/512059e3bd963ea9ce2d4f36 kd> dg @fs P Si Gr Pr Lo Sel Base Limit Type l ze an es ng Flags ---- -------- -...
驱动开发:内核枚举PspCidTable句柄表
LYSHARK
10-16 1万+
在上一篇文章中我们通过枚举特征码的方式找到了DPC定时器基址并输出了内核中存在的定时器列表,本章将学习如何通过特征码定位的方式寻找Windows 10系统下面的内核句柄表地址。首先引入一段基础概念;windowsPspCidTable 就是这样的一种表(内核句柄表),表的内部存放的是进程EPROCESS和线程ETHREAD的内核对象,并通过进程PID和线程TID进行索引,ID号以4递增,内核句柄表不属于任何进程,也不连接在系统的句柄表上,通过它可以返回系统的任何对象。
原创】PspCidTable杂谈
cn_jevons的专栏
02-17 994
标 题: 【原创】PspCidTable杂谈作 者: sudami时 间: 2008-02-15,21:31链 接: http://bbs.pediy.com/showthread.php?t=59680今天再次看了gz1X牛的文章,回忆了许多知识. 哈哈. 玩了很长时间游戏,写点儿文字算是对自责的一种安慰 要
PspCidTale的理解和思考
qq_42021840的博客
05-01 507
(一)介绍 PspCidTable是一个句柄表,但是这个句柄表不同于普通的句柄表,它不是私有的存放的是系统中所有进程和线程的对象信息的句柄表,其索引是PID和CID。其格式和普通的句柄表完全一样,但也有不同之处: PspCidTable中存的是对象体(EProcess、EThread),而每个进程中私有的句柄表存放的是对象头(Objece_Header) PspCidTable是一个...
快速跳转到Google SSL 中文版的网址:ggssl.com
HANK-M的专栏
05-31 1万+
<br />Google 最近提供了 SSL(HTTPS) 搜索功能(https://www.google.com),可以保护用户的搜索关键字和搜索结果不被ISP等第三方机构拦截、窃取,不被墙连接重置。<br />  国内用户访问 https://www.google.com 默认情况下会跳转到谷歌香港 http://www.google.com.hk,解决方法为先点击“Google.com in English“访问 http://www.google.com/ncr (仅需要点击一次),该网址会种一个C
https://www.jianshu.com/p/718b1147ee3a
mhHao的博客
01-08 1万+
https://www.jianshu.com/p/718b1147ee3a
https://www.jianshu.com/p/15c85b1901f7
qq_44181678的博客
07-08 2万+
https://www.jianshu.com/p/15c85b1901f7 https://www.zhangshengrong.com/p/281oD6Yawz/ 这是另外一个思路,直接包含表字段设计的内容
2020-07-08
热门推荐
weixin_45981643的博客
07-08 15万+
Shadowrocket: 2020-07-08 16:31:55 [General] update-url = https://apps.apple.com/cn/app/apple-developer/id640199958 [Rule] DOMAIN-SUFFIX,SpheroMini机器人https://store.apple.com/cn/xc/product/HMA62Z/A,PROXY,force-remote-dns [General] bypass-tun = update-url = h
ASCII码对照表(十进制和十六进制)
weixin_30362233的博客
08-19 2万+
表 A-1 DEC 多国字符集 十六进制代码 MCS 字符或缩写 DEC 多国字符名 ASCII 控制字符 1 ...
ASP.NET 视频学习资源(下载地址)
linzhongling的专栏
01-25 8244
asp.net (c#)相关的视频下载地址,绝对有用.大部分 是2.0 还有 sql2005  win2003 之类的资源,包括外国的http://download.microsoft.com/download/6/2/4/6247616D-A0C7-4552-B622-3F0450DE2462/09CS.wmvhttp://download.microsoft.com/download/0/
天堂W游戏内核驱动保护简单分析(一)
jian274622701的博客
05-18 762
5. PspCidTable内核未导出的句柄表, 保存所有进程和线程的对象, 可以枚举隐藏进程(本质就是枚举句柄表)(可能性很小, 结构偏移不通用)1. 从双向链表中摘除, 取得进程结构指针,将上一个节点指向中下一个节点, 下一个节点的上一个节点指向上一个本进程的上一个节点。6. Csrss进程中的句柄表, 保存着所有的进程列表(本质就是枚举句柄表)(可能性很小, 结构偏移不通用)1. 进程隐藏 NTOpenProcess(本质就是枚举句柄表)(可能性不大)// 获取ExEnumHandleTable
iOS应用崩溃日志揭秘
cy-app
04-09 6万+
转自 http://www.raywenderlich.com/zh-hans/30818/ios应用崩溃日志揭秘 本文作者是 Soheil Moayedi Azarpour, 他是一名独立iOS开发者。 作为一名应用开发者,你是否有过如下经历? 为确保你的应用正确无误,在将其提交到应用商店之前,你必定进行了大量的测试工作。它在你的设备上也运行得很好,但是,上了应用商店后
PspCidTable进程检测技术解析
总结来说,基于PspCidTable进程检测方法是一种高效且直接的监控技术,可以用于检测和管理系统的进程活动。尽管它具有一定的复杂性和风险,但它为进程监控提供了新的思路和可能性。在实际应用中,这种方法需要结合...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值