[求助]驱动的数字签名和软件的数字签名是否一样
VISTA上的签名 只认MS的和Versign的  什么Thawte乱七八糟的不认的

[原创]重读老文章系列：驱动加载拦截的那几个事儿
Patch~

BOCHS 模拟器让安卓运行其他OS系统，包括winXP
bochs...这玩意是用来研究和调试底层代码的 不是让你拿来玩的

[求助]MmGetSystemRoutineAddress获取不了导出函数地址！
很明显，因为NtReadVirtualMemory，NtWriteVirtualMemory不是导出函数
看一下ntoskrnl.exe的导出表不就真相大白了

[求助]请问下内核里面怎么获取模块
导出函数为什么用不了？

[原创]新人发个小软件，TDL4 的生成器
话说 楼主为啥不放那个VFS的加密解密算法～

[求助]有人可以解EXCEL文件吗？
XLS还是XLSX?
XLS可以使用Office Password Remover~

各位朋友帮帮我们这些被begin09.com天草也就是杨威,欺骗的弱势群体!!
话说 被坑的不仅仅是你一个人～

[原创]物理HOOK
因为你没修改PTE中涉及COW的位，你是直接获取的物理内存地址进行的修改。
COW是保护虚拟内存页面的，这里指的是虚拟内存指向的数据，修改被保护的页面会触发页异常，系统再给你分配一块物理内存，把原来的内容Copy过来，修改新物理内存页面内对应的代码，然后再MAP到你修改的地址上去。这就是写时复制机制。
我不知道你想表达什么意思。COW是由PTE中相关的位项控制的，如果对某地址禁用COW，写入的数据是直接写入到物理内存的。

[原创]物理HOOK
跟SSDT HOOK有什么关系？
一个是替换系统调用表 一个是修改物理内存，貌似没什么关系吧

[求助]内核如何加载Dll的
你机器上的kernel32.dll或者ntdll.dll是加载到内核执行的?

[原创]物理HOOK
系统的Copy On Write机制。
系统DLL只load一次，新进程加载时只是map过去。这些系统DLL的虚拟地址对应的物理地址是一样的。

[求助]编写一个MBR存在问题，请大家看看。
调试mbr为什么不用bochs~可以单步跟踪的哦~
话说，不是win7的mbr会加载到0000h:7C00h,而是使用BIOS方式引导的操作系统都会把MBR加载到0000h:7C00h，这是个固定位置

DDK的帮助文档里面没有的声明在哪找? 比如 NtUserMessageCall
未公开的函数 DDK文档找不到的

[求助]如何在Win64寻找SSDT，Hook ZwQueryDirectoryFiles，免签安装我的sys文件
在Vista以上版本的x64系统，最好使用微软提供的接口来实现相关的功能。隐藏文件可以使用文件过滤驱动。
PS:替换内核文件这种方法还是不要用的好。正规软件不能这么搞，搞木马这么搞又太鸡肋

[求助]如何在Win64寻找SSDT，Hook ZwQueryDirectoryFiles，免签安装我的sys文件
鸡肋文章，不看也罢
纯粹理论性的东西，根本没实用价值。你见过那个马或者正规安全软件对系统做这么大的修改的？

[求助]如何在Win64寻找SSDT，Hook ZwQueryDirectoryFiles，免签安装我的sys文件
64位下SSDT没有导出需要自己定位
64位下驱动加载必须有签名，除非你用TDL4方式加载:replace kdcom.dll+reload and run~
再有HOOK SSDT会蓝的，因为有PatchGuard

我劝你还是放弃吧～

干掉快车的FlashGetAdProcess.exe进程!
改一个地方 让他无法启动

[分享]“黑”客防线真让人桑心呐！
你真幽默
字数补丁