XEDParse 是一款开源的x86指令编码库，该库用于将MASM语法的汇编指令级转换为对等的机器码，并以XED格式输出，目前该库支持x86、x64平台下的汇编编码，XEDParse的特点是高效、准确、易于使用，它可以良好地处理各种类型的指令，...

当读者需要获取到特定进程内的寄存器信息时，则需要在上述代码中进行完善，首先需要编写CREATE_PROCESS_DEBUG_EVENT事件，程序被首次加载进入内存时会被触发此事件，在该事件内首先我们通过lpStartAddress属性获取到当前程序...

Windows 线程同步是指多个线程一同访问共享资源时，为了避免资源的并发访问导致数据的不一致或程序崩溃等问题，需要对线程的访问进行协同和控制，以保证程序的正确性和稳定性。Windows提供了多种线程同步机制，以适应不同的...

BeingDebugged 是Windows系统PEB结构体中的一个成员，它是一个标志位，用于标识当前进程是否正在被调试。BeingDebugged的值为0表示当前进程未被调试，值为1表示当前进程正在被调试。由于BeingDebugged是在PEB结构体中存储...

挂起与恢复进程是指暂停或恢复进程的工作状态，以达到一定的控制和管理效果。在 Windows 操作系统中，可以使用系统提供的函数实现进程的挂起和恢复，以达到对进程的控制和调度。需要注意，过度使用进程挂起/恢复操作可能会造...

Session是Windows系统的一个安全特性，该特性引入了针对用户体验提高的安全机制，即拆分Session 0和用户会话，这种拆分Session 0和Session 1的机制对于提高安全性非常有用，这是因为将桌面服务进程，驱动程序以及其他系统级服...

动态链接库注入技术是一种特殊的技术，它允许在运行的进程中注入DLL动态链接库，从而改变目标进程的行为。DLL注入的实现方式有许多，典型的实现方式为远程线程注入，该注入方式的注入原理是利用了Windows系统中提供的CreateR...