恢复Inline Hook结束冰刃进程

关闭冰刃有很多种方法，比如调用内核未导出的PspTerminateProcess函数，或者使用模拟点击。本文将用一种”物归原主”的方法来对付冰刃。冰刃对自身的进程保护方法是InlineHook了NtOpenProcess和NtTerminateProcess这两个函数，修改了这两个函数的前5个字节，jmp到自己定义的处理函数里，所以只要我们将这两个被Hook的函数”物归原主”恢复过来，那么在Ring3下调用Open Process获得进程句柄，然后再调用TerminateProcess就能轻松结束冰刃进程。

Delphi实现邮件SMTP与POP3

一般发送邮件有两种方式，一种是通过Web的方式，还有一种是通过SMTP方式。收邮件也有两种方式，一种是Web方式，另一种是POP3方式。sMTP即简单邮件传输协议，它是一组用于由源地址到目的地址传送邮件的规则，由其来控制信件的中转方式。POP3（Post Office Protocol 3）即邮局协议的第3个版本，是规定个人计算机如何连接到互联网上的邮件服务器进行收发邮件的协议。Outlook与FoxMail都是用SMTP与POP3的方式来收发邮件的，

Ring3下利用RegNotifychangeKeyValue实现注册表监控

木马病毒为了实现自启动．经常喜欢在Run项里添加键值，在Ring3下我们可以使用Win32 API函数RegNotifychangeKeyValue来实现监视注册表。本文将分别使用Delphi和VC同时实现监视注册表启动项。我们先来看看这个函数的原型：

使用Greta正则表达式扫描网马

杀毒软件扫描病毒的时候使用的是特征码匹配，而在扫描网马的时候，同样也可以使用特征码匹配。本文我们就使用正则表达式来扫描网马。

Winlo驱动级模拟按键的实现

有某些软件会屏蔽掉SendMessage、PostMessage这些发送消息的函数，这样的话我们就无法通过发送消息的方式去模拟按键，这时可以使用keybd_event函数来实现模拟按键．但如果keybd_event函数也被屏蔽了怎么办？我们还可以使用另一种方法，winlo驱动级模拟按键。

Windows系统编程解析

很多朋友们都在问为什么黑防七剑课程——莫问剑分别使用三种语言来讲课呢？本文笔者将给大家一个解释，在解释这个问题之前，你必须先明白以下这三件事。

Delphi编写系统用户管理工具

Windows系统下有一个net命令，相信很多朋友都用过．这个命令其实就是调用了C：＼windows＼system32＼net．exe这个文件。net．exe是一个系统自带的工具．功能很强大，可以实现用户管理、文件共享、网络管理等等。本文我们就用Delphi自己动手编写一个系统用户管理工具．也算是实现了net．exe的一部分功能。

编写窃取U盘文件的木马插件

“肉鸡”的U盘里可能有很多个人资料．很多人都想窃取，但是我们不可能每时每分都守着“肉鸡”，等着“肉鸡”去插入U盘。所以我想了下．能不能自己写一个程序，在“肉鸡”上运行．让程序去监视“肉鸡”的U盘是否插入。

Ring0下注册表键值的枚举与隐藏

注册表一直都是病毒、木马和杀毒软件的必争之地，有很多木马为了自启动，都会在注册表的Run项里写入键值。有很多系统管理工具在管理启动项的时候．通过读取注册表Run项里的内容，来获得启动内容。如果我们将Run项里的某个键值隐藏起来，这样的话，那些系统管理工具就获取不了我们的启动项了。

编写零管道反向cmdshell后门程序

什么是cmdshell？cmdshell就是通过cmd窗口远程执行命令。那什么是管道呢？管道是一种进程间通信的方法，进程可以从这个对象的一个端13写入信息，并从这个对象的另一个端口读取信息。后门程序一般是使用管道进行通信的。使用CreatePipe函数可以建立管道，该函数原型如下：

文件系统过滤驱动实现文件保护

2010年第6期的《黑客防线》杂志上胡文亮同学有一篇《底层函数的文件防删除》，个人认为如果Hook的函数越底层，那么在Foke函数里就越难处理，稍微没处理好就有可能导致蓝屏。