[原创]WIN64驱动编程基础教程（福利：过WIN7/8/8.1签名强制的LIB、过WIN7“补丁守卫”的SRC、吊销的正规数字签名）-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]WIN64驱动编程基础教程（福利：过WIN7/8/8.1签名强制的LIB、过WIN7“补丁守卫”的SRC、吊销的正规数字签名）

发表于: 2014-5-4 17:51 137195

[原创]WIN64驱动编程基础教程（福利：过WIN7/8/8.1签名强制的LIB、过WIN7“补丁守卫”的SRC、吊销的正规数字签名）

Delphic

2014-5-4 17:51

137195

查看主题内容

收藏・633

免费・12

支持

打赏 + 11.00雪花

駱勇

一位没有留下痕迹的看雪读者

打赏次数 2

雪花 + 11.00

駱勇	+10.00	2019/03/20	你分享的东西是无价之宝
一位没有留下痕迹的看雪读者	+1.00	2018/10/28

最新回复 (262) ◀ 1 2 3 4 5 6 7 8 9 10 11 ▶
hkcly 雪币： 260 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	hkcly 201 楼好少回帖, 还是顶一下楼主, 教程确实不错 2015-1-25 10:52 0
i雨落i 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	i雨落i 202 楼顶一下，谢谢楼主分享。 2015-2-6 13:40 0
qzlovexz 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	qzlovexz 203 楼这么多干货，谢谢楼主 2015-2-6 14:11 0
JackJoker 雪币： 188 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 414 粉丝 0 关注私信	JackJoker 204 楼感谢楼主分享。 2015-2-6 14:13 0
wodexinren 雪币： 74 活跃值： (1013) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 225 粉丝 0 关注私信	wodexinren 205 楼谢谢楼主了 2015-2-6 14:14 0
痕无天雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 189 粉丝 0 关注私信	痕无天 206 楼 mark 2015-2-7 07:57 0
flyingtime 雪币： 403 活跃值： (65) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	flyingtime 207 楼这么好的东西一定要顶~支持Tesla.Angela 2015-2-10 16:59 0
zgdsbmdyw 雪币： 89 活跃值： (71) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 15 粉丝 3 关注私信	zgdsbmdyw 208 楼多谢大神无私分享 2015-3-11 18:05 0
lhb天羽雪币： 25 活跃值： (702) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 154 粉丝 0 关注私信	lhb天羽 209 楼找个时间一定得好好学习64位的驱动啊 2015-3-12 17:04 0
LOVEZ 雪币： 76 活跃值： (226) 能力值： ( LV2，RANK：15 ) 在线值：发帖 1 回帖 135 粉丝 0 关注私信	LOVEZ 210 楼好东西，正想学这块。 2015-3-25 17:48 0
黑夜族人雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	黑夜族人 211 楼 mark。。。mark。。。 2015-3-29 09:42 0
lhglhg 雪币： 221 活跃值： (2741) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 450 粉丝 4 关注私信	lhglhg 1 212 楼过签名的LIB,对设备驱动(wdm)，可以用？ 2015-4-1 15:02 0
duanqiang 雪币： 7 活跃值： (150) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 90 粉丝 0 关注私信	duanqiang 213 楼我来顶下楼主呀 2015-4-22 19:41 0
Delphic 雪币： 231 活跃值： (233) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 14 粉丝 34 关注私信	Delphic 1 214 楼无意中发现今天竟然是发帖一周年“纪念日”，同时也是青年节！在这个“特殊”的日子里，分享一下我过去一年多发的技术贴。为了节省论坛空间，同时做到low profile，我就不再新开主题了，直接贴出链接，感兴趣的朋友可以去看看。数量总计：16+2。最后2个是2013年发的。还有更多链接没有贴出来请自行去查看。在WIN64系统上定位未导出的Zw函数 c09K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6T1j5i4y4E0i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1y4K6V1&6y4g2)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. “隐藏”内核线程和回调 45cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6T1j5i4y4E0i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1y4K6V1&6z5g2)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. 一份很标准的MmGetSystemRoutineAddressEx（兼容32/64） 234K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6T1j5i4y4E0i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1z5o6l9#2x3#2)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. WIN64公开教程小补充：关于IMAGE回调拦截DLL d08K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6T1j5i4y4E0i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1z5o6p5#2x3W2)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. WIN64上一种只需修改函数6个字节的INLINE HOOK方法 5bbK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6T1j5i4y4E0i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1z5o6p5#2y4q4)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. WIN8/8.1X64上获取WOW64进程模块基址一个非常坑人的地方 16eK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6T1j5i4y4E0i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1z5o6p5#2y4W2)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. WIN64公开教程小补充：两行代码阻止PCHUNTER运行 cf9K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6T1j5i4y4E0i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1z5o6t1H3x3g2)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. 一种更简单易懂的PATCH内核文件破PatchGuard方法（WIN7） bcaK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6T1j5i4y4E0i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1z5o6t1K6x3g2)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. 最简的HIPS模型(RING0主动向RING3交互)(兼容WIN32/WIN64) 8c6K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6T1j5i4y4E0i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1z5o6t1&6x3#2)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. 一个简单反调试的实现（兼容WIN32/WIN64） 07aK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6T1j5i4y4E0i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1z5o6t1&6y4q4)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. WIN64上跨进程位数的DLL注入 9cbK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6T1j5i4y4E0i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1z5o6x3%4x3g2)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. 在驱动里获得系统盘盘符等信息 4b5K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6T1j5i4y4E0i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1z5o6b7H3x3#2)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. WIN64上利用调试寄存器实现RING3的HOOK 4b5K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6T1j5i4y4E0i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1z5o6b7H3y4q4)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. 暂时无法检测的VT级内核后门 9ceK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6T1j5i4y4E0i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1z5o6b7I4x3#2)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. 编程实现关闭UAC（兼容WIN32/WIN64） 1f4K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6T1j5i4y4E0i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1z5o6t1K6x3q4)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. 32位WIN7系统里使用KeResumeThread需要注意的地方 5b2K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6T1j5i4y4E0i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1z5o6x3^5y4q4)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. 过PCHUNTER64检查MBR 3ddK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6T1j5i4y4E0i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1y4K6R3%4y4W2)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. 一份标准的栈回溯代码[32/64/R3/R0全通用] cbaK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6T1j5i4y4E0i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1y4K6R3^5z5g2)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. 2015-5-4 09:57 1
tianhz 雪币： 557 活跃值： (474) 能力值： ( LV9，RANK：170 ) 在线值：发帖 19 回帖 127 粉丝 35 关注私信	tianhz 3 215 楼好！赞一个。谢谢胡大侠的奉献。谢谢！ 2015-5-4 10:08 0
GeekCheng 雪币： 22 活跃值： (242) 能力值： ( LV7，RANK：110 ) 在线值：发帖 16 回帖 154 粉丝 13 关注私信	GeekCheng 2 216 楼可以尝试用SectionObject来获得路径 2015-5-17 17:20 0
ybpcn 雪币： 189 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 23 粉丝 0 关注私信	ybpcn 217 楼辛苦了楼主 2015-5-17 18:23 0
wkaka 雪币： 135 活跃值： (132) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 91 粉丝 0 关注私信	wkaka 218 楼强烈支持LZ 的分享精神。好东西，留个记号。谢谢LZ分享 2015-5-24 10:46 0
quartect 雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 18 粉丝 0 关注私信	quartect 219 楼非常感谢 2015-5-27 05:59 0
lhb天羽雪币： 25 活跃值： (702) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 154 粉丝 0 关注私信	lhb天羽 220 楼 mark 以后慢慢学习 2015-6-12 12:19 0
jj丐guo 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	jj丐guo 221 楼膜拜楼主大神，学习了。 2015-6-17 14:28 0
柒雪天尚雪币： 183 活跃值： (751) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 327 粉丝 5 关注私信	柒雪天尚 222 楼置顶，谢谢 2015-7-19 22:14 0
kxltsuper 雪币： 5 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 188 粉丝 1 关注私信	kxltsuper 223 楼 MARK THANK U 2015-7-19 22:24 0
yllen 雪币： 1258 活跃值： (1439) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 159 粉丝 0 关注私信	yllen 224 楼楼主很厚道，谢谢了 2015-7-21 11:29 0
xzplays 雪币： 28 活跃值： (89) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 1 关注私信	xzplays 225 楼正要学习呢，无从入手，现在发现宝山了。 2015-8-13 15:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Delphic

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (262) ◀ 1 2 3 4 5 6 7 8 9 10 11 ▶
hkcly 雪币： 260 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	hkcly 201 楼好少回帖, 还是顶一下楼主, 教程确实不错 2015-1-25 10:52 0
i雨落i 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	i雨落i 202 楼顶一下，谢谢楼主分享。 2015-2-6 13:40 0
qzlovexz 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	qzlovexz 203 楼这么多干货，谢谢楼主 2015-2-6 14:11 0
JackJoker 雪币： 188 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 414 粉丝 0 关注私信	JackJoker 204 楼感谢楼主分享。 2015-2-6 14:13 0
wodexinren 雪币： 74 活跃值： (1013) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 225 粉丝 0 关注私信	wodexinren 205 楼谢谢楼主了 2015-2-6 14:14 0
痕无天雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 189 粉丝 0 关注私信	痕无天 206 楼 mark 2015-2-7 07:57 0
flyingtime 雪币： 403 活跃值： (65) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	flyingtime 207 楼这么好的东西一定要顶~支持Tesla.Angela 2015-2-10 16:59 0
zgdsbmdyw 雪币： 89 活跃值： (71) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 15 粉丝 3 关注私信	zgdsbmdyw 208 楼多谢大神无私分享 2015-3-11 18:05 0
lhb天羽雪币： 25 活跃值： (702) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 154 粉丝 0 关注私信	lhb天羽 209 楼找个时间一定得好好学习64位的驱动啊 2015-3-12 17:04 0
LOVEZ 雪币： 76 活跃值： (226) 能力值： ( LV2，RANK：15 ) 在线值：发帖 1 回帖 135 粉丝 0 关注私信	LOVEZ 210 楼好东西，正想学这块。 2015-3-25 17:48 0
黑夜族人雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	黑夜族人 211 楼 mark。。。mark。。。 2015-3-29 09:42 0
lhglhg 雪币： 221 活跃值： (2741) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 450 粉丝 4 关注私信	lhglhg 1 212 楼过签名的LIB,对设备驱动(wdm)，可以用？ 2015-4-1 15:02 0
duanqiang 雪币： 7 活跃值： (150) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 90 粉丝 0 关注私信	duanqiang 213 楼我来顶下楼主呀 2015-4-22 19:41 0
Delphic 雪币： 231 活跃值： (233) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 14 粉丝 34 关注私信	Delphic 1 214 楼无意中发现今天竟然是发帖一周年“纪念日”，同时也是青年节！在这个“特殊”的日子里，分享一下我过去一年多发的技术贴。为了节省论坛空间，同时做到low profile，我就不再新开主题了，直接贴出链接，感兴趣的朋友可以去看看。数量总计：16+2。最后2个是2013年发的。还有更多链接没有贴出来请自行去查看。在WIN64系统上定位未导出的Zw函数 c09K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6T1j5i4y4E0i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1y4K6V1&6y4g2)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. “隐藏”内核线程和回调 45cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6T1j5i4y4E0i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1y4K6V1&6z5g2)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. 一份很标准的MmGetSystemRoutineAddressEx（兼容32/64） 234K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6T1j5i4y4E0i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1z5o6l9#2x3#2)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. WIN64公开教程小补充：关于IMAGE回调拦截DLL d08K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6T1j5i4y4E0i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1z5o6p5#2x3W2)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. WIN64上一种只需修改函数6个字节的INLINE HOOK方法 5bbK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6T1j5i4y4E0i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1z5o6p5#2y4q4)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. WIN8/8.1X64上获取WOW64进程模块基址一个非常坑人的地方 16eK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6T1j5i4y4E0i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1z5o6p5#2y4W2)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. WIN64公开教程小补充：两行代码阻止PCHUNTER运行 cf9K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6T1j5i4y4E0i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1z5o6t1H3x3g2)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. 一种更简单易懂的PATCH内核文件破PatchGuard方法（WIN7） bcaK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6T1j5i4y4E0i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1z5o6t1K6x3g2)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. 最简的HIPS模型(RING0主动向RING3交互)(兼容WIN32/WIN64) 8c6K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6T1j5i4y4E0i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1z5o6t1&6x3#2)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. 一个简单反调试的实现（兼容WIN32/WIN64） 07aK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6T1j5i4y4E0i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1z5o6t1&6y4q4)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. WIN64上跨进程位数的DLL注入 9cbK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6T1j5i4y4E0i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1z5o6x3%4x3g2)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. 在驱动里获得系统盘盘符等信息 4b5K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6T1j5i4y4E0i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1z5o6b7H3x3#2)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. WIN64上利用调试寄存器实现RING3的HOOK 4b5K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6T1j5i4y4E0i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1z5o6b7H3y4q4)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. 暂时无法检测的VT级内核后门 9ceK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6T1j5i4y4E0i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1z5o6b7I4x3#2)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. 编程实现关闭UAC（兼容WIN32/WIN64） 1f4K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6T1j5i4y4E0i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1z5o6t1K6x3q4)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. 32位WIN7系统里使用KeResumeThread需要注意的地方 5b2K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6T1j5i4y4E0i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1z5o6x3^5y4q4)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. 过PCHUNTER64检查MBR 3ddK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6T1j5i4y4E0i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1y4K6R3%4y4W2)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. 一份标准的栈回溯代码[32/64/R3/R0全通用] cbaK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6T1j5i4y4E0i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1y4K6R3^5z5g2)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. 2015-5-4 09:57 1
tianhz 雪币： 557 活跃值： (474) 能力值： ( LV9，RANK：170 ) 在线值：发帖 19 回帖 127 粉丝 35 关注私信	tianhz 3 215 楼好！赞一个。谢谢胡大侠的奉献。谢谢！ 2015-5-4 10:08 0
GeekCheng 雪币： 22 活跃值： (242) 能力值： ( LV7，RANK：110 ) 在线值：发帖 16 回帖 154 粉丝 13 关注私信	GeekCheng 2 216 楼可以尝试用SectionObject来获得路径 2015-5-17 17:20 0
ybpcn 雪币： 189 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 23 粉丝 0 关注私信	ybpcn 217 楼辛苦了楼主 2015-5-17 18:23 0
wkaka 雪币： 135 活跃值： (132) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 91 粉丝 0 关注私信	wkaka 218 楼强烈支持LZ 的分享精神。好东西，留个记号。谢谢LZ分享 2015-5-24 10:46 0
quartect 雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 18 粉丝 0 关注私信	quartect 219 楼非常感谢 2015-5-27 05:59 0
lhb天羽雪币： 25 活跃值： (702) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 154 粉丝 0 关注私信	lhb天羽 220 楼 mark 以后慢慢学习 2015-6-12 12:19 0
jj丐guo 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	jj丐guo 221 楼膜拜楼主大神，学习了。 2015-6-17 14:28 0
柒雪天尚雪币： 183 活跃值： (751) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 327 粉丝 5 关注私信	柒雪天尚 222 楼置顶，谢谢 2015-7-19 22:14 0
kxltsuper 雪币： 5 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 188 粉丝 1 关注私信	kxltsuper 223 楼 MARK THANK U 2015-7-19 22:24 0
yllen 雪币： 1258 活跃值： (1439) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 159 粉丝 0 关注私信	yllen 224 楼楼主很厚道，谢谢了 2015-7-21 11:29 0
xzplays 雪币： 28 活跃值： (89) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 1 关注私信	xzplays 225 楼正要学习呢，无从入手，现在发现宝山了。 2015-8-13 15:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复