typedef NTSTATUS (*ZWOPENPROCESS)( OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN PCLIENT_ID ClientId ); NTSYSAPI NTSTATUS NTAPI ZwOpenProcess ( OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN PCLIENT_ID ClientId ); ZWOPENPROCESS OldZwOpenProcess; NTSTATUS NewZwOpenProcess ( OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN PCLIENT_ID ClientId ) { NTSTATUS ntStatus; ntStatus = ((ZWOPENPROCESS)(OldZwOpenProcess)) ( ProcessHandle, DesiredAccess, ObjectAttributes, ClientId ); if(ClientId->UniqueProcess == (HANDLE)ulPID) *ProcessHandle = NULL; return ntStatus; }

美联WAF架构演变之路 数据安全

windows10获取SSDT未导出函数NtReadVirtualMemory详细步骤和代码，其他未导出函数同理

windows环境提取DSDT/SSDT/ROM工具，1.提取DSDT 打开aida64.exe——工具——ACPI浏览器——Save DSDT——选择保存位置保存，把保存好的acpi_dsdt.bin命名为DSDT.aml。 2.提取SSDT 打开aida64.exe——工具——ACPI浏览器——Save Table——前面是SSDT开头的都要保存。保存时候文件名为SSDT.aml/SSDT-1.aml/SSDT-2.aml/SSDT-3.aml/一次类推，保存类型为ALL files（*.*）。 3.显卡rom提取 打开aida64.exe——查看——状态栏——右键状态栏——Video Debug——Video BISO Debug——文件名称随意.rom就可以。保存类型为ALL files（*.*）

一个通过HOOK SSDT来隐藏进程和保护进程的源码，值得菜鸟一看，很多可以拿来重用的东西

Windows内核态SSDT-hook实现进程隐藏和文件隐藏，代码很规整，学习内核编程的好例子 -a good example of studying kernel programing or driver developing, SSDT hook

em算法 matlab 代码

0D/6D 补丁 概述_PRW 定义了一个部件的唤醒方法。其 Return 2 个或者 2 个以上字节组成的数据包。有关 _PRW 详细的内容参见 ACPI 规范。 有这么一些部件，由于他们的 _PRW 和 macOS 发生了冲突从而导致机器刚刚睡眠成功就被立即 唤醒。为了解决问题，必须对这些部件实施补丁。这些部件 _PRW 数据包的第 1 个字节是 0D 或者 6D 。因此，这种补丁被称为 0D/6D补丁 ，也叫 秒醒补丁 ，也叫 睡了即醒补丁 。为了描述 方便，以下统一称之为 0D/6D补丁

环境vs2017+wdk10 ssdt shadowssdt实现inlinkhook shadowssdt需要在irp中或attach到gui线程中才能获取到

获取SSDT工具