这两个Vista新增的系统服务函数原型未公开，目前网上搜索到的资料有些问题，特别是对于最后一个参数的描述不确切。

首先说NtCreateUserProcess。网上找到的函数原型如下：

DWORD newNtCreateUserProcess(PVOID pvP1,PVOID pvP2,PVOID pvP3,PVOID pvP4,PVOID pvP5,PVOID pvP6,PVOID pvP7,PVOID pvP8,PVOID pvP9,PVOID pvP10,PPROCESS_UNKNOWN ppuUnknown)

typed

关于PsLookupThreadByThreadId，MSDN里有这样一段描述：

A file system filter driver can enumerate active threads by calling PsLookupThreadByThreadId to convert a thread ID to an ETHREAD structure. The thread ID is available in the thread create routine. A file system filter driver can set a thread notification callback routine using PsSetCreateThreadNotifyRoutine. In the notification callback routine, the file system filter driver can use the passed

又大了一岁，时间过得还真是有点快。07年居然又只写了两篇Blog，看来我这辈子是“勤快”不起来了。原因有二，一是我写Blog就和发技术文章似的喜欢长篇大论。相比有些人每次就写一两句话，记记流水帐、发发牢骚，偶尔说说技术也是用XXX带过，那更新速度自然天差地别。二是没时间写，确切的说是没时间研究技术。很多时候我都是文章写了一半就中断，时间停的越久就越觉得没啥可写的，最后只好删掉。因为我的性格就是不说没把握的话，不做心里没底的事。只有花时间把问题搞透，我

发一段隐藏注册表项的驱动代码，可以过目前最新的IceSword1.22。

以前驱动开发网悬赏挑战IceSword时写的，不过最后没公开。那时流氓软件势头正劲，我可不想火上浇油。现在反流氓软件日渐成熟，也就没关系了。知道了原理，防御是非常容易的。

原理很简单，实现的代码也很短，啥都不用说，各位直接看示例代码吧。

#include <ntddk.h>

#define GET_PTR(ptr, offset) ( *(PVOID*

看了《在销售铁卷的过程中，我遇到的一些常见的问题》一文，有些话不吐不快。

先全文引用过来：

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝这就是传说中沉鱼落雁闭月羞

彻底放弃Bokee，它的速度那是相当的慢！

     又到年终总结的时候了。去年一年只更新了两次Blog，实在是有违“记录点滴想法”的初衷呢。一年的时间里我的精力完全放在工作上，即便是业余时间也有一半的心思在思考工作上的问题，最后剩下的一点时间则花在卡通、漫画和电子小说上了。虽然在工作中得到了不少关于安全和Win内核的“想法”，但我无法轻易地将这些与大家共享。因为我发现安全环境的可靠度在某种意义上依赖的是“无知”。比如0DAY，当漏洞没有被发现或没有在补丁发布前被公开，那么大家是安全的，反之

(下面的文字本是我在某个论坛的回贴，后来发现跑题了，食之无味弃之可惜，于是转贴到这里)

除了nProtect，国外还有一些反键盘记录工具，比如下面这个还不错：
http://www.anti-keyloggers.com/

是个通用型的

一个把任何文件转成批处理的脚本。
用Base64编码数据，好处是压缩了大小（相对bin2str而言），缺点是增加处理时间和脚本复杂度。
由于效率瓶颈是在bat生成vbs这一步，所以总的来说还是合算了。
写文件用ADODB.Recordset，比debug好使多了。
大部分事都是脚本做的，批处理只是用echo来生成脚本而已。
echo版的好处是，全选复制粘贴到cmd shell里就把文件上传了。

下面是代码。版面限制，排版有点乱:(

真是好久没更新Blog了-_- 发一个我在EST论坛的回帖(第48楼)

原贴位置：http://forum.eviloctal.com/read-htm-tid-15522.html