多数ARK反内核工具中都存在驱动级别的内存转存功能，该功能可以将应用层中运行进程的内存镜像转存到特定目录下，内存转存功能在应对加壳程序的分析尤为重要，当进程在内存中解码后，我们可以很容易的将内存镜像导出，从而更好...

在上一篇文章《驱动开发：内核中实现Dump进程转储》中我们实现了ARK工具的转存功能，本篇文章继续以内存为出发点介绍VAD结构，该结构的全程是Virtual Address Descriptor即虚拟地址描述符，VAD是一个AVL自平衡二叉树，树的每一...

这篇文章比较特殊，是一篇穿插答疑文章，由于刚好在前一篇教程《驱动开发：内核枚举PspCidTable句柄表》整理了枚举句柄表的知识点，正好这个知识点能解决一个问题，事情是这样的有一个粉丝求助了一个问题，想要枚举出驱动中活动...