Session是Windows系统的一个安全特性，该特性引入了针对用户体验提高的安全机制，即拆分Session 0和用户会话，这种拆分Session 0和Session 1的机制对于提高安全性非常有用，这是因为将桌面服务进程，驱动程序以及其他系统级服...

APC（Asynchronous Procedure Call）异步过程调用是一种Windows操作系统的核心机制，它允许在进程上下文中执行用户定义的函数，而无需创建线程或等待OS执行完成。该机制适用于一些频繁的、短暂的或非常细微的操作，例如改变线...

动态链接库注入技术是一种特殊的技术，它允许在运行的进程中注入DLL动态链接库，从而改变目标进程的行为。DLL注入的实现方式有许多，典型的实现方式为远程线程注入，该注入方式的注入原理是利用了Windows系统中提供的CreateR...

python 进程与线程是并发编程的两种常见方式。进程是操作系统中的一个基本概念，表示程序在操作系统中的一次执行过程，拥有独立的地址空间、资源、优先级等属性。线程是进程中的一条执行路径，可以看做是轻量级的进程，与同...

在Windows平台下，应用程序为了保护自己不被调试器调试会通过各种方法限制进程调试自身，通常此类反调试技术会限制我们对其进行软件逆向与漏洞分析，下面是一些常见的反调试保护方法：...

在笔者上一篇文章《驱动开发：内核取应用层模块基地址》中简单为大家介绍了如何通过遍历PLIST_ENTRY32链表的方式获取到32位应用程序中特定模块的基地址，由于是入门系列所以并没有封装实现太过于通用的获取函数，本章将继...

在之前的文章中LyShark一直都在教大家如何让驱动程序与应用层进行正向通信，而在某些时候我们不仅仅只需要正向通信，也需要反向通信，例如杀毒软件如果驱动程序拦截到恶意操作则必须将这个请求动态的转发到应用层以此来通...

Port 80 required by Tomcat v7.0 Server at localhost is already in use. The server may already be running in another process, or a system process may be using th...

在前面的文章《驱动开发：运用MDL映射实现多次通信》LyShark教大家使用MDL的方式灵活的实现了内核态多次输出结构体的效果，但是此种方法并不推荐大家使用原因很简单首先内核空间比较宝贵，其次内核里面不能分配太大且每次...

xv6中的fork()系统调用将父进程的所有用户空间内存复制到子进程中。如果父进程较大，则复制可能需要很长时间。更糟糕的是，这项工作经常造成大量浪费；...