yeshahayes的博客

寻找64位系统某符号特征码时发现他的MOV指令用的是相对地址，之前32位下从来没听说MOV还能用相对地址，故查阅了下Intel指令手册。 在MOV指令介绍下找到如下介绍： In 64-bit mode, the instruction’s default operation size is 32 bits. Use of the REX.R prefix permits access to a

在Windows中，内核对象由三部分组成，其中第一部分是由数个不确定的结构组成，第二部分就是结构头OBJECT_HEADER，第三部分则是对象体。后两部分容易确定，OBJECT_HEADER后48个字节就是对象体。第一部分则是完全隐藏起来的机制，而且Win7系统中OBJECT_HEADER里也没有了前面几个结构的偏移信息，所以需要具体研究一下这个字段的生成机制。 这个结构肯定是在ObCreateO

WDK中ELAM驱动示例 从MSDN中摘抄的关于这种驱动的简介。链接 简介  从Windows8起，微软为反病毒软件增加的新的驱动类型：Early-Lunch Anti-Malware驱动（ELAM驱动）。这种驱动启动的比其他boot类型的驱动更加早并且提供了回调向ELAM驱动通知正在被加载的普通boot型驱动，以让反病毒软件有机会在boot型驱动加载前检测并决定是否加载这些驱动。 ...