3.3节中 windows中进程线程的数据结构 内核层进程对象:KPROCESS typedef struct _KPROCESS { //// The dispatch header and profile listhead are fairly infrequently// referenced.// DISPATCHER_HEADER Header;...
一、模块隐藏的实现原理 普通API查找模块实现思路:其通过查询在R3中的PEB(Process Environment Block 进程环境块)与TEB(Thread Environment Block 进程环境块)来找到一个双向链表,通过遍历双向链表中某一成员(字符串)来查找全部模块。 模块隐藏实现思路:在R3层的模块隐藏,我们需要做的就是将其...