ProcessHeap 是Windows进程的默认堆，每个进程都有一个默认的堆，用于在进程地址空间中分配内存空间。默认情况下ProcessHeap由内核进行初始化，该堆中存在一个未公开的属性，它被设置为加载器为进程分配的第一个堆的位置(进...

NtGlobalFlag 是一个Windows内核全局标记，在Windows调试方案中经常用到。这个标记定义了一组系统的调试参数，包括启用或禁用调试技术的开关、造成崩溃的错误代码和处理方式等等。通过改变这个标记，可以在运行时设置和禁...

进程：可以理解为一个内存块，是一块虚拟内存。在3环（应用层）的结构是PEB，在内核的结构是EPROCESS。

我们知道一些游戏为了防止被分析会加入反调试的代码，那么我们的木马样本同样也需要用到反调试技术。攻和防其实是相对的，只有了解了调试的原理，才能更深入的进行对抗，本文就对一些常见的反调试手段进行总结并对深层原理进...