ProcessHeap 是Windows进程的默认堆，每个进程都有一个默认的堆，用于在进程地址空间中分配内存空间。默认情况下ProcessHeap由内核进行初始...

NtGlobalFlag 是一个Windows内核全局标记，在Windows调试方案中经常用到。这个标记定义了一组系统的调试参数，包括启用或禁用调试技术的开关、...

BeingDebugged 是Windows系统PEB结构体中的一个成员，它是一个标志位，用于标识当前进程是否正在被调试。BeingDebugged的值为0表示...

在这个信息技术时代，企业必须应对日益增长的生成和保护大量数据的需求。这就是为什么制定广泛而有效的策略来处理和保护这些数据比以往任何时候都更加重要的原因。数据安全...

在开始使用TEB/PEB获取进程或线程ID之前，我想有必要解释一下这两个名词，PEB指的是进程环境块（Process Environment Block），用于...

内存进程读写可以让我们访问其他进程的内存空间并读取或修改其中的数据。这种技术通常用于各种调试工具、进程监控工具和反作弊系统等场景。在Windows系统中，内存进...

挂起与恢复进程是指暂停或恢复进程的工作状态，以达到一定的控制和管理效果。在 Windows 操作系统中，可以使用系统提供的函数实现进程的挂起和恢复，以达到对进程...

进程状态的判断包括验证进程是否存在，实现方法是通过枚举系统内的所有进程信息，并将该进程名通过CharLowerBuff转换为小写，当转换为小写模式后则就可以通过...

创建新的进程是Windows程序开发的重要部分，它可以用于实现许多功能，例如进程间通信、并行处理等。其中，常用的三种创建进程的方式分别是WinExec()、Sh...

在Windows操作系统中，每个进程的虚拟地址空间都被划分为若干内存块，每个内存块都具有一些属性，如内存大小、保护模式、类型等。这些属性可以通过VirtualQ...

动态内存补丁可以理解为在程序运行时动态地修改程序的内存，在某些时候某些应用程序会带壳运行，而此类程序的机器码只有在内存中被展开时才可以被修改，而想要修改此类应用...

Sunday 算法是一种字符串搜索算法，由Daniel M.Sunday于1990年开发，该算法用于在较长的字符串中查找子字符串的位置。算法通过将要搜索的模式的...

KMP算法是一种高效的字符串匹配算法，它的核心思想是利用已经匹配成功的子串前缀的信息，避免重复匹配，从而达到提高匹配效率的目的。KMP算法的核心是构建模式串的前...

CRC校验技术是用于检测数据传输或存储过程中是否出现了错误的一种方法，校验算法可以通过计算应用与数据的循环冗余校验（CRC）检验值来检测任何数据损坏。通过运用本...

CRC校验技术是用于检测数据传输或存储过程中是否出现了错误的一种方法，校验算法可以通过计算应用与数据的循环冗余校验（CRC）检验值来检测任何数据损坏。通过运用本...

MinHook是一个轻量级的Hooking库，可以在运行时劫持函数调用。它支持钩子API函数和普通函数，并且可以运行在32位和64位Windows操作系统上。其...

CRC校验技术是用于检测数据传输或存储过程中是否出现了错误的一种方法，校验算法可以通过计算应用与数据的循环冗余校验（CRC）检验值来检测任何数据损坏。通过运用本...

EAT（Export Address Table）用于修改动态链接库（DLL）中导出函数的调用。与IAT Hook不同，EAT Hook是在DLL自身中进行钩子...

IAT（Import Address Table）Hook是一种针对Windows操作系统的API Hooking 技术，用于修改应用程序对动态链接库（DLL）...

InlineHook 是一种计算机安全编程技术，其原理是在计算机程序执行期间进行拦截、修改、增强现有函数功能。它使用钩子函数（也可以称为回调函数）来截获程序执行...