获得进程CmdLine
1. NtQueryInformationProcess传递ProcessBasicInformation获得PEB地址
2. Peb.ProcessParameters.CommandLIne是一个UNICODE_STRING
3. ReadProcessMemory读取

系统页表物理地址
>= XP 0x39000
pre XP 0x30000

VAD
<=XP
typedef struct _MMVADXP {
    ULONG_PTR StartingVpn;
    ULONG_PTR EndingVpn;
    PVOID Parent;
    PVOID LeftChild;
   

Ayz几个月前发布的加载驱动方式。

http://hi.baidu.com/azy0922/blog/item/3dd20222ba0941ac4723e875.html

简单用IDA看了一下，测试还是挺好使的，大部分HIPS都不会拦。

首先建立\Registry\Machine\System\CurrentControlSet\Services\dmload\EncapsulationPending子键

\Registry\Machine\System\CurrentControlSet\Services\dmload 中的ImagePath改为我们自己的驱动。

重启就会加载了。

N长时间以前在看雪看了一个帖子《Ring3下WX方法结束微点2009 》

http://bbs.pediy.com/showthread.php?t=99206 觉得挺有意思。

基本思路是用CREATE_SUSPEND创建一个进程，用ZwUnmapViewOfSection把里面的代码卸掉。

GetThreadContext 得到对方的EAX和EBX，EAX指向OEP，EBX指向PEB（间接获得image-base）

         ThreadMast是一款CPU管理程序。官方网址：

怎么乱七八糟的事情那么多。。。。。

晕。。。。果然是不容易呀。。。。

嗯。。。。等申请下来准备换个电脑。。。。申请不下来也要换个内存。。。。

1G开虚拟机还是很吃力啊。。。。

然后终于有钱请女朋友啦 ~~~ XD

发现一张好玩的图 XD

Windows Xp句柄表结构
学习了一下Windows XP的句柄表结构，和windows internal中描述的win2000结构还是有很大不同的。
简单记录一下。

1. winXP的句柄还是三层结构，每一层的大小为PAGE_SIZE。对于X86系统就是4KB。
   并且每一层的最后一个元素用作统计。
   因此，第2、1层可以存储4KB/4 - 1 = 1023项地址。
   第0层可以存储4KB / 8 - 1 = 511项。

2. 句柄信息储存在第0层，每一项8字节。
结构如下
lkd> dt _HANDLE_TABLE_ENTRY
nt!_HAN

WinXP系统调用的步骤

sysenter指令：从sysenter_CS_MSR、sysenter_ESP_MSR、sysenter_EIP_MSR寄存器读取数据，填写cs、ss（cs+8）esp、eip。进入ring0特权级

步骤：
0. 进入时eax = 服务号，edx = 当前栈顶 (+0x08为用户参数) sysenter 进入ring0
1. 初始化ds、es为0x23，fs 0x30
2. PCR+0x40(0FFDFF040h)处取得TSS，TSS+0x04取得当前线程内核栈地址，赋值给esp。所以sysenter_ESP_MSR没有意义。
esp = pcr->TSS->Esp0
3. 关中断，建立ThTrapFrame
ntdll!_KTRAP_FRAME