基本是知道的东西。不过以前没有动手写过。逆了一个杀软的相关部分，学习一下。

请不要问我是哪个杀软，我不知道

还原后的C语言代码:

index09.ys168.com -> code -> GetNameFromCreate.cpp

         简单说一下这次瑞星出现的漏洞。在IOCTL代码为

上次发生活帖是半年以前了。

去年4月的时候第一次牵着她的手送她回宿舍。

时间过得很快。

9个月后的今天，我们再次成为了两个不相关的人。

于是以后的日子里兔子和鱼再也没有特殊的意义。

于是以后手机里的28日不再有special的标志。

于是不再没事翻看两个人照片。

于是我们再次成为了两个不相关的人。

还有香山没有爬，还有柯南没有看，北京小吃还没有一起吃，鼓浪屿还没有去，还有KTV、跳舞机、买衣服……很多事情还没有做，希望不会成为我们的遗憾。

性情不

         SSDT、ShadowSSDT、HOOK

基本分为以下基本
1. 转配TrapFrame
2. 获取服务表地址，测试是否需要转化为GUI线程。
3. R3参数复制到内核栈 (顺便说一下某安全助手就是在这一步的最后进行HOOK的)
4. 系统调用
5. 返回操作。。。大部分在EXIT_ALL宏中。。。没看懂。。。

;eax指向服务编号
;edx指向当前用户栈、edx+8为参数列表

_KiFastCallEntry        proc

;

知道是很过时的技术了，只是尝试一下，效果还不错，其实可以过冰刃，因为结束了会蓝 -v-

传说加个进程和线程销毁的回调，到时回填时就可以不蓝了。我去看看wrk这里是怎么实现的 XD

kd> !process 0 4 notepad.exe
PROCESS 821e0020  SessionId: 0  Cid: 0338    Peb: 7ffde000  ParentCid: 044c
    DirBase: 0

CreateProcessW (CreateProcessInternalW的包装)
--参数检测
--dwCreationFlags转换为PriorityClass
--组合exe文件路径lpApplicationName
--调用BasepMapFile创建exe文件对应的section
->BasepMapFile
----NtOpenFile以SYNCHRONIZE | FILE_EXECUTE | FILE_READ_DATA方式打开exe
----NtCreateSection创建section(PAGE_EXECUTE/SEC_IMAGE)
----NtClose关闭文件
<-CreateProcessInternalW
--ZwQuerySection传递SectionImageInformation(1)参数，获得SECTION_IMAGE_INFORMATION结构，里面包含了镜像大小等PE文件信息。
--

0. 创建EPROCESS、映射SECTION
.......
1. BasepCreateStack通过ZwAllocateVirtualMemory创建用户堆

2. BasepInitializeContext初始化上下文
eax = oep
ebx = peb
esp = stackaddress
eip = BaseProcessStartThunk(进程第一个线程)
    = BaseThreadStartupThunk(其它线程)

3. BasepConvertObjectAttributes

参考reactos的代码学了一下windows对象管理