“Li Lei和Han Meimei没在一起啊？”最近，一些“80后”们发现，曾是他们初中英语教材中两个主要人物的“Li Lei”和“Han Meimei”被一套新的英语教材沿用。但令人惊讶的是，新教材中的Li Lei和Han Meimei已不再是小朋友，而是跟着80后们一起步入了青年时代。Han Meimei更嫁作了他人妇。 ­

今天又想起来VirtualKD这个东西，试用了一下，真是爽坏了，可能我火星了~~

很久以前就知道小喂有个VmKd工具,使用Vmware的后门指令直接拷贝数据来代替模拟串口，能大大提高调试时的数据传输速度。不过那个对VMware版本的依赖性太强，我的Vmware就没法用，所以很不爽得又放下了，很长一段时间也没关注过。最近翻资料时又找到index09同学的一篇文章，介绍了比Vmkd更好用的VirtualKD，于是马上下回来试用了一下，安装简单多了，使用方便，终于体会到了什么叫做速度，调试时那个嗖嗖的啊，比老爷车一样的串口爽太多了，相信某

同事说电脑里隐藏文件无法显示，于是让我帮忙看看是不是有病毒。
于是带了工具就去了，拿出ProcessExplorer就看到两个明显的病毒进程，直接X掉，然后打开IceSword时竟然被模拟按键方式关掉了。
于是又查看了进程的模块列表，在模块列表里看到一个EMXXXX.inf（竟然以inf为扩展名，骗谁呢？），这个也干掉，然后重启了。
以为这回搞定了呢，没想到打开冰刃，又被关掉了。。。
查看了一下，刚才干掉的东西都没有再出现，那么肯定漏了什么。进程都是正常的，那么肯定还有模块存在了。
拿SystemRepairEngine扫了

分析了一下360的HOOK,通过直接hook KiFastCallEntry实现对所有系统调用的过滤。
我分析的版本如下：
主程序版本: 6.0.1.1003
HookPort.sys版本: 1, 0, 0, 1005
HookPort.sys的TimeStamp: 4A8D4AB8

简单说明：360把所有被hook的系统服务的过滤函数放在了一个表里，索引即对应的系统服务在该过滤函数表中的索引。所有列出来的函数都会被hook掉的，是否处理指某个系统服务有没有相应的过滤函数进行处理，拒绝还是放行就是在过滤函数中完成判断的。不处理的系统服务，将会直接调用原始服务例程。
函数如

今天是个非常重要的日子，祖国60岁生日
回顾祖国60年来的变化，感慨很多，也有些激动，几欲泪奔
相信每个人，心中都有难以言表的骄傲和豪情
阅兵式很精彩，装甲部队的最后，是压轴的核弹；游行方阵的最后，是快乐的孩子
这是个很好的比喻，未来在孩子们身上，他们的重要性不亚于核弹
虽然中国的问题也很多，但是这阻挡不了大发展的趋势
我希望祖国越来越强大，发展越来越好

相当老的话题，大约一年前就写过这个东西了，不过那时候知识比较有限，也不了解内核，因此实现得很粗浅，现在再写一下，权当是对这个老问题的总结吧。
先谈谈正规DLL的隐藏方法，这里说的正规DLL，是指用LoadLibrary以正常方式加载的DLL。
一、从PEB的Ldr链中消失
这个很简单，看雪上NetRoc有一篇关于这个的文章，从分析原理到编程实现，虽然技术不算高深，但是思路非常精彩。来复习一下吧~~
lkd> dt _PEB 7ffdc000