@zoand
2015-06-20T17:18:20.000000Z
字数 1396
阅读 1564
amd64驱动
在WIN64系统上定位未导出的Zw函数
http://www.vbasm.com/thread-7995-1-1.html
“隐藏”内核线程和回调
http://www.vbasm.com/thread-7999-1-1.html
一份很标准的MmGetSystemRoutineAddressEx(兼容32/64)
http://www.vbasm.com/thread-8053-1-1.html
WIN64公开教程小补充:关于IMAGE回调拦截DLL
http://www.vbasm.com/thread-8152-1-1.html
WIN64上一种只需修改函数6个字节的INLINE HOOK方法
http://www.vbasm.com/thread-8154-1-1.html
WIN8/8.1X64上获取WOW64进程模块基址一个非常坑人的地方
http://www.vbasm.com/thread-8156-1-1.html
WIN64公开教程小补充:两行代码阻止PCHUNTER运行
http://www.vbasm.com/thread-8201-1-1.html
一种更简单易懂的PATCH内核文件破PatchGuard方法(WIN7)
http://www.vbasm.com/thread-8231-1-1.html
最简的HIPS模型(RING0主动向RING3交互)(兼容WIN32/WIN64)
http://www.vbasm.com/thread-8293-1-1.html
一个简单反调试的实现(兼容WIN32/WIN64)
http://www.vbasm.com/thread-8294-1-1.html
WIN64上跨进程位数的DLL注入
http://www.vbasm.com/thread-8371-1-1.html
在驱动里获得系统盘盘符等信息
http://www.vbasm.com/thread-8403-1-1.html
WIN64上利用调试寄存器实现RING3的HOOK
http://www.vbasm.com/thread-8404-1-1.html
暂时无法检测的VT级内核后门
http://www.vbasm.com/thread-8413-1-1.html
编程实现关闭UAC(兼容WIN32/WIN64)
http://www.vbasm.com/thread-8230-1-1.html
32位WIN7系统里使用KeResumeThread需要注意的地方
http://www.vbasm.com/thread-8384-1-1.html
过PCHUNTER64检查MBR
http://www.vbasm.com/thread-7876-1-1.html
一份标准的栈回溯代码[32/64/R3/R0全通用]
http://www.vbasm.com/thread-7889-1-1.html
发现PsGetProcessImageFileName取到的进程名称长度有限制,短进程名称没问题,长名称就不全了,比如 hsabculate.exe,最后那个e就没有了,想请教下什么原因?测试的进程枚举那个例子
可以尝试用SectionObject来获得路径