摘要： 文章目錄： 01. 博文簡介：02. 環境及工具準備：03. 分析 TP 所做的保護：04. 干掉 NtOpenProcess 中的 Deep InLine Hook：05. 干掉 NtOpenThread 中的 Deep InLine Hook：06. 干掉 NtReadVirtualMemory 中的 InLine Hook：07. 干掉 NtWriteVirtualMemory 中的 InLine Hook：08. 干掉 KiAttachProcess 的 InLine Hook：09. 干掉 NtGetContextThread 中的 InLine Hook：10. 干掉 NtSetC 閱讀全文

摘要： 文章目錄： 01. 博文簡介：02. 環境及工具準備：03. 分析 TP 所做的保護：04. 干掉 NtOpenProcess 中的 Deep InLine Hook：05. 干掉 NtOpenThread 中的 Deep InLine Hook：06. 干掉 NtReadVirtualMemory 中的 InLine Hook：07. 干掉 NtWriteVirtualMemory 中的 InLine Hook：08. 干掉 KiAttachProcess 的 InLine Hook：09. 干掉 NtGetContextThread 中的 InLine Hook：10. 干掉 NtSetC 閱讀全文

摘要： 文章目錄： 1. 下載 SQLite3 源碼： 2. 下載 SQLite3.dll 文件： 3. 生成 SQLite3.lib 文件 ： 4. 生成或者下載 SQLite3 Shell 文件 ： 5. 創建數據庫以及數據表： 6. 總結： 1. 下載 SQLite3 源碼： ... 閱讀全文

摘要： 文章目錄： 1. Demo 效果展示： 2. 進程和端口亂扯淡： 3. 查詢進程和端口的 API 的介紹： 4. 根據進程 ID 獲得該進程所打開的 TCP 和 UDP 端口： 5. 根據端口號來獲得打開該端口號的進程： 6. 小結： 1. Demo 效果展示： ... 閱讀全文

摘要： 文章目錄： 1. 引子： 2. Native Application Demo 展示： 3. Native Application 簡介： 4. Native Application 有何妙用： 5. MJ0011 關于 Native Application 的文章整理： 6. 互聯網上其他關于 Native Application 的文章整理：... 閱讀全文

摘要： 文章目錄： 1. 引子： 2. 獲取當前系統下所有進程： 3. 服務管理（安裝，啟動，停止，卸載）： 4. 應用程序和內核程序通信： 5. 小結： 1. 引子： 關于這個 SSDT Hook 實現進程隱藏和進程保護呢，這是最后一篇博文了， 在文章的結... 閱讀全文

摘要： 文章目錄： ????????????????? 1. 引子 – Demo 實現效果： 2. 進程隱藏與進程保護概念： 3. SSDT Hook 框架搭建： 4. Ring0 實現進程隱藏： 5. Ring0 實現進程保護： 6. 隱藏進程列表和保護進程列表的維護： 7. 小結： ?????????????? ? 1. 引子 – Demo 實現效果： ???????????????... 閱讀全文

摘要： 文章目錄： ????????????????? 1. 引子 – Hook 技術： 2. SSDT 簡介： 3. 應用層調用 Win32 API 的完整執行流程： 4. 詳解 SSDT： 5. SSDT? Hook 原理： 6. 小結： ?????????? 1. 引子 – Hook 技術： ????? 前面一篇博文呢介紹了代碼的注入技術(遠程線程實現)，博文地址如下： http:... 閱讀全文

摘要： 引子 ????????? 前些日子由于項目要求，在網上到處找資料，于無意中發現了 CodeProject 上的一篇很老的文章，文章標題為： Three Ways to Inject Your Code into Another Process 這篇文章呢，出來很久咯，還是 03 年的文章了，可惜我弄底層弄得時間不久哦，不然應該早就看過這篇大作了， 由于是大作，而且出來的又久了，自然在網上也... 閱讀全文

摘要： 引子 近來在 Windows 下擺弄了一陣子的服務程序，有在 C++ 下弄服務的，也在 C# 下弄服務的， 感覺在 C# 下弄服務蠻簡單的の，C/C++ 的麻煩蠻多の（當然我的服務所要求的功能也是很簡單的，就啟動個進程）， 只不過服務在安裝啊、調試啊、卸載啊上面麻煩的要死，弄得我煩躁起來了， 而且對于服務的安裝和卸載中間還有一個小插曲的， 因為我很早就知道可以使用 SCM API 來完成服務的安... 閱讀全文

摘要： 以前一直都是用 VS2008 + DDKWizard + WinDbg 來進行驅動程序的開發調試的， 使用 DDKWizard 來搭配調試環境呢，在 VS2008 下也還算方便， 因為不需要自己去設置一些什么包含文件啊，源代碼路徑啊之類的就可以直接編譯驅動程序源碼， 安裝好 DDKWizard 后，在 VS2008 中就會自動出現一個開發驅動程序的項目框架， 就跟選擇創建 WinForm 應用程序... 閱讀全文

摘要： 引子 前陣子曾提到過為了應某些人的需要，得做幾個畢業設計，其中一個就是 Windows 的進程管理工具 。 在前期的規劃中是做成比較高難度的那種 Windows 進程管理工具， 也就是在底層使用驅動程序來獲取進程的信息，而在上層則使用 VC 做用戶界面層的。 至于為什么在底層要使用驅動程序來獲取進程信息而不是直接在上層使用高級語言來直接獲取進程信息， 那是因為在上層中通過高級語言來獲取進程信息時無... 閱讀全文

摘要： 由于從公司辭職了，所以以前在公司里搭建的驅動開發環境也就 Game Over 了， 同樣由于那環境是很久以前搭建的，自己也有很多記不清楚的地方了， 而且其中還是有很多需要注意的地方的，所以在這里順便做一個環境搭建的總結， 以后再要用的時候也會很方便的。 WDK 調試環境搭建： 安裝 WDK: 自然首先是安裝 WDK 了，這個好辦，直接到官網上下載，然后安裝就 OK 了， 注意的是，在安裝中最好... 閱讀全文

摘要： 內容要點展示：內核中文件的使用內核定時器的使用IO_WORKITEM 的使用文章概要最近一個項目呢，是做一個基于 TDI 的防火墻，而在該防火墻的實現過程中呢，有對文件的處理，因為這個防火墻中涉及到日志文件，黑名單文件，白名單文件的處理，所以整個的 TDI 防火墻中對于文件處理這一塊，就涉及到文件的創建，打開，讀取，寫入等等文件操作。而在內核中處理文件呢，自然有其特殊的一面，所以不太好操作。同時還需要有定時器的處理以及 IRQL 的控制等細節。文件操作概要在 Windows 操作系統的內核環境中，對于文件的路徑和在應用層中的表示是不同的，在應用層中，我們對于文件的路徑很簡單，比如：E:\Dri 閱讀全文

摘要： 回憶剛進公司那會兒，手頭的第一個工作就是完成虛擬鍵盤，也就是通過驅動程序向鍵盤端口寫入數據， 這份活至今記憶猶新，那會兒寫的是個過濾驅動程序，也就是將我的虛擬設備綁定到真實的鍵盤設備上， 當驅動程序編譯完成以后，我也總是通過下面的這個工具來安裝驅動程序， 每編譯好一次就使用這個工具重新安裝驅動一次，然后通過 DbgView 來打印消息， 那會兒還真傻，為了弄出這么個虛擬鍵盤，都不曉得安裝了驅動多少... 閱讀全文

摘要： 引子由于這陣子必須得做幾個小東西才行，估計著呢，是要做個 Windows 的任務管理器出來才行，但是在功能上呢，又必須得比 Windows 任務管理器強大一點，說實在的，在 Windows 7 里面的 Windows 任務管理器在功能上已經很強大了，而我這里說的強大一點呢，并不是說要在功能上比 Windows 7 的任務管理器還有多一些，而是在仿照 Windows 任務管理器的同時實現一些 Windows 任務管理器還沒有實現的功能，比如在內存的管理上，Windows 任務管理器并沒有針對于每一個進程均有對應的內存顯示，所以在這里就可以加上一個功能，比如可以實現，當用戶選定一個進程后，我可以采 閱讀全文

摘要： 引子 WRK 是微軟于 2006 年針對教育和學術界開放的 Windows 內核的部分源碼， WRK（Windows Research Kernel）也就是 Windows 研究內核， 在 WRK 中不僅僅只提供了 Windows 內核模塊的部分代碼，其還提供了編譯工具， 也就是通過這個編譯工具，你可以將你的 WRK 編譯成一個 EXE 文件， 也就是內核可執行模塊，然后你可以利用這個 ... 閱讀全文

摘要： 引子 前面介紹的幾種用于實現進程之間通信的方法都是比較正統的方式， 像剪貼板，命名管道這些都還是用得比較多的， 而這里將介紹的是一種比較偏門的方法來實現進程間的通信， 所謂偏門呢，自然就是用的少，能夠不用就不要使用。 其實這種方法就是通過動態鏈接庫來實現進程間的通信。 ?????????? ???????????????? 動態鏈接庫（DLL）概述?????????????? 既然是要... 閱讀全文

摘要： 引子 好，到這里呢，就需要介紹實現進程間通信的第四種方式了， 也就是通過命名管道來實現，前面介紹的那三種方式呢，都是有缺陷或者說局限性太強， 而這里介紹的命名管道相對來說，在這方面就做得好很多了， 比如，剪貼板的話只能實現本機上進程之間的通信， 而郵槽的話雖然是可以實現跨網絡之間的進程的通信， 但麻煩的是郵槽的服務端只能接收數據，郵槽的客戶端只能發送數據，太悲劇了， 而對于匿名管道的... 閱讀全文

摘要： 引子 前面的兩篇博文分別介紹了通過剪貼板和通過郵槽來實現進程之間的通信， 其中剪貼板呢，是用來實現本地兩個進程之間的通信， 而郵槽則既可以實現本地兩個進程之間的通信，也可以實現本地進程和服務器進程的通信， 當然，上面這兩種方式都是有局限性的，比如剪貼板就只能實現本地進程之間的通信， 而在郵槽中，雖然是既可以實現本地進程之間的通信，又能實現本地進程和遠程服務器進程的通信， 但是使用郵槽的... 閱讀全文