Sometimes, we may need hide our process from various programs in order to achieve specific objectives. For instance, we may want to hide our virus from antivirus software, or conceal our cheat from anti-cheat programs. There are lots of different approaches introduced by blogs in internet. In this article, I will introduce a few methods that I believe are both effective and relatively straightforward. Unlink EPROCESS First and foremost, I

因为一些任务需要，接触了Windows KVAS机制，并做了一些逆向分析，可以说是挺复杂的，这里非常感谢 @gmh5225 @kanren3 的帮助 什么是KVAS 内核虚拟地址影

属于是没想到，我会因为一个API写一篇博客。没办法，它的坑实在是太大了，让我惊叹于微软文档工程师的“牛逼”。 起因是，我想跨进程的对一个程序的

在0环对3环的反调试中，最常用的应该就是DebugPort清零。先介绍一下这个DebugPort是什么东西。当调试器附加一个进程时，会调用N

在一些强对抗环境下，当我们试图在三环下用API去读取别的进程的内存往往会收到诸多限制，比如r3花式hook，r0句柄降权，改进程结构体等等等

从一节的学习，相信大家已经知道了系统调用时，进入内核层时各寄存器的值从哪里来，但是并没有介绍原寄存器的值要存到哪里去，这一节主要就是介绍进入

根据上一节的例子，我们实现了不通过Windows的API函数，直接构造一个函数实现ReadProcessMemory的功能。在这个过程中，最

转眼间又到了假期了欸，想来，寒假好像就在上个月（ 咳咳，在寒假里粗粗学完了Windows保护模式，虽然感觉这些知识没有在实际重运用到，但是对知

历时一个月零一天，WindowsKernel的保护模式这块终于完结了！（撒花撒花） 非常感谢 lzyddf 师傅的博客，知识点罗列的非常清晰；非常感谢 Bayerischen 师傅

在 Windows保护模式学习笔记（2）—— 调用门&中断门&陷阱门 中介绍了一些中断和异常的概念，这里重新做一个系统的阐释。 无论

0x01 2-9-9-12分页 前面我们说过，通过10-10-12的分页方式，物理地址最多可达4G（1024 x 1024 x 4kb）,但众所周知，随着硬件的发展

0x01 4GB内存空间 通常我们所说，32位的系统在应用程序运行的时候就会分配4G的内存空间。那么问题来了，一般的电脑内存条总共也只有4-16G，那

0x01 任务状态段(Task-state segment, TSS) 之前讲到了，因为SS段的CPL必须与CS段的CPL一致，所以当使用调用门、中断门或陷阱门并产生权限切换