一种获取Shadow SSDT服务函数原始地址的思路

随着Hook SSDT的泛滥，Hook Shadow SSDT估计也已经是Windows驱动入门都要学的了。既然有Hook，对应的就要有恢复。要做恢复．第一个要做的就是需要知道SSDT或者Shadow SSDT服务函数原始地址。而获取服务函数原始地址．就需要读取SSDT或者Shadow SSDT对应的内核文件ntoskrnl．exe（这个根据自己机器而定）以及win32k．sys。

构建超长异常处理链anti OllyDBG

在学习异常处理的过程中，基于对异常处理的一点认识，以及Ieminis中的一个缺陷，自己尝试了一种anti OD调试的方法，这里就和大家共同分享一下。由于这种方法涉及到异常处理以及动态链接库DLL，所以需要一个一个来突破。

编程实现进程和窗口保护

玩过lceSword的都知道，它启动后，就自动启动了进程保护和窗口保护，如果用任务管理器结束其进程，会出现无法中止进程的提示框如果是结束它的窗口，则会出现”由于被系统锁住，该程序无法关闭”的提示框。由于个人的一些需要，我自己编写的程序也需要实现进程保护，于是就有了本文要实现的类似功能。

狙剑文件与磁盘过滤驱动遍历和删除功能全逆向

SnipeSword狙剑是近两年出现的一款强大的安全反黑工具，它提供的众多新颖功能中．有个可以查看和删除文件过滤设备的功能。这个功能还是很有用的，于是我就分析了一下．这里和大家共同分享。我们首先要知道狙剑是发哪个IOCTL给驱动来提供这个功能的。运行狙剑．然后运行IrpTracker，在IrpTracker的“File-〉Select Device”中选择狙剑的设备Driver＼SnipeSword，然后按Ctrl＋F，清除所有的IRP请求类型．

打造自己的驱动防火墙

由于个人需要，于是自己动手写了一个简单的监控驱动动态加载的防火墙（其实完全意义上来说，不能叫防火墙，好像只能叫监控器）．用来监控动态加载的驱动。

Ring3下逆向TCPView端口枚举机制

本着学习的目的，我逆向了Mark编写的TCPView，想看看是怎么实现在Ring3下枚举端口信息的，于是就有了本文。

Vista下通过未文档化函数枚举端口信息

最近由于个人需要，对windows各个版本的端口枚举做了初步了解。在windows XP／2003下，可以在Ring3通过AllocateAndGet TcpExIableFromStack和AllocateAndGetUdpExtabieFromStack这两个未公开的函数枚举端口，返回信息会把进程的信息和端口的相关信息关联到一起，

用开源反汇编引擎检测inline hook

最近两天在研究FUTO Rootkit的源代码，发现其自身带了一个反汇编引擎，通过该引擎可以反汇编32位或者16位的代码，于是就想到用反汇编引擎来检测inline hook，于是尝试写了本文要说明的程序。

IceSword端口枚举功能

最近在写ARK小程序，准备实现端13枚举功能，因此对IceSword v1．22的端口枚举功能很有兴趣。我原来只是在网上看到说IceSword是通过自己构建IRP向网络协议驱动发送请求，就首先验证了一下这个说法。