文档介绍
驱动第12课注入与保护!注入!保护注入!apc注入!thread注入!hook注入!mem注入保护!进程保护!扩展:线程,文件,表,窗体apc注入!前置知识:!如何稳定调用syscall的Nt系列函数!如何构造注入用的ApcCode!2个问题:!64位APC注入32位进程!如何强制APC生效thread注入!ZwCreateThreadExhook注入!前置知识:!如何解决64位上的代码hook地址的问题!2个问题:!hook的时机!hook的地方mem注入!64位下对32位注入map和对64位注入map的差别!32位注入直接依靠shellcode就可以完成!64位注入因为seh结构问题,依赖shellcode,BlackBone代码的中的Loader.c进程保护!基于PsProtect体系,微软提供的进程保护方案!基于ObjectCallBack过滤,微软提供标准解决方法!基于handle表的攻防!基于PEPROCESS本身的结构:PsInse