原文发表于百度空间,2009-05-13========================================================================== Idle进程和System进程一样,也是系统中的一个特殊进程,严格讲它不算是一个进程,但是它有自己的EPROCESS,并有一个IdleThread.若说它算一个进程,它的进程空间.句柄表.Token等却又和System进程一样,即共享了System的内核数据,所以不能以常理对待之.关于Idle进程的两个问题:…

原文发表于百度空间,2008-7-31========================================================================== 前面已经通过遍历活动进程双链,来得到一个进程列表．但是,这个链表中有些进程其实是已经退出的进程．因此,在得到一个EPROCESS之后,必须对其进行识别,判断其是否已经退出．通过对一死一活两个进程的EPROCESS的对比,发现以下标志可以用作判断进程是否退出的标准． 这是已经退出的IceSword的EPROCES…

原文发表于百度空间,2008-7-24========================================================================== 进程的相关结构非常重要,重点学习-有一些内容参考自:http://dev.csdn.net/article/20/20210.shtm 进程结构中,首推EPROCESS,标记一些重要成员(可能不全):lkd> dt _EPROCESSnt!_EPROCESS   +0x000 Pcb             …

原文发表于百度空间,2009-09-17========================================================================== 相当老的话题,大约一年前就写过这个东西了,不过那时候知识比较有限,也不了解内核,因此实现得很粗浅,现在再写一下,权当是对这个老问题的总结吧.先谈谈正规DLL的隐藏方法,这里说的正规DLL,是指用LoadLibrary以正常方式加载的DLL.一.从PEB的Ldr链中消失这个很简单,看雪上NetRoc有一篇关于这…

原文发表于百度空间,2008-7-24========================================================================== 线程是进程的实际存在,每个进程中至少会有一个线程．线程相关的数据结构比较多,一个一个看．首先是ETHREAD:lkd> dt _ETHREADnt!_ETHREAD   +0x000 Tcb              : _KTHREAD       //线程控制块   +0x1c0 CreateTime   …

原文发表于百度空间,2010-10-07========================================================================== 由于KeUserModeCallback的工作原理,对调用者线程和进程有以下要求: 1.调用者线程不能是纯内核线程(由PsCreateSystemThread创建的线程) 2.调用者线程必须在其所属进程中调用KeUserModeCallback 3.调用者进程必须加载了user32.dll 原因很简单,因为K…

原文发表于百度空间,2010-01-02========================================================================== 玩过Shadow SSDT Hook的都知道,在System进程中是无法访问win32k.sys的内存空间的,要想访问必须切换到csrss进程或者任意一个GUI进程.问题一:为什么System进程里无法访问win32k.sys呢?某同学的说法,"在System进程和非GUI进程里,win32k.sys被页换出…

原文发表于百度空间,2008-7-24========================================================================== 这些是驱动中相关的数据结构． 驱动对象,由I/O管理器创建,用于管理设备(Device):lkd> dt _DRIVER_OBJECTntdll!_DRIVER_OBJECT   +0x000 Type             : Int2B                                   …

原文发表于百度空间及看雪论坛,2010-09-12 看雪论坛地址:https://bbs.pediy.com/thread-120296.htm========================================================================== Win7的内核新增了一系列带有Tag参数的对象增加引用(Refrence)/减少引用(Derefrence)函数,更易于找出对象使用中的“泄漏”(即Refrence和Derefrence次数不匹配). 在W…

原文发表于百度空间及看雪论坛,2009-10-14 看雪论坛地址:https://bbs.pediy.com/thread-99460.htm 刚发这篇文章的时候,因为内容涉及360的核心产品,文章被雪藏了一段时间========================================================================== Author:achillisblog :https://www.cnblogs.com/achillis/ 上一篇的分析中漏掉了三个函…