VC 编写实现基于HOOK 钩子的键盘监控程序，利用钩子技术实现的键盘监控，运行效果如演示截图所示。

D:. │ Read me.txt │ 目录里面的文件.txt │ └─Rootkit ├─1。 内核hook │ ├─1）object hook │ │ 1）object hook.doc │ │ │ ├─2）ssdt hook │ │ 2）ssdt hook.doc │ │ SSDT Hook的妙用－对抗ring0 inline hook .doc │ │ swk0207.rar │ │ │ ├─3）inline-hook │ │ 360SuperKill学习之--恢复FSD的IRP处理函数.doc │ │ 3）inline-hook.doc │ │ cnnic.rar │ │ ExpLookupHandleTableEntry.rar │ │ ExpLookupHandleTableEntry2.rar │ │ kill_SecuritySoftware.rar │ │ PsLookupProcessByProcessId执行流程学习笔记.doc │ │ 句柄啊，3层表啊，ExpLookupHandleTableEntry啊.doc │ │ 干掉KV 2008, Rising等大部分杀软.doc │ │ 搜索未导出的函数地址.doc │ │ │ ├─4）idt hook │ │ bhwin_keysniff.rar │ │ IDT Hook .doc │ │ │ ├─5）IRP hook │ │ 5）IRP hook.doc │ │ irphook1.rar │ │ irphook2.rar │ │ irphook3.rar │ │ │ ├─6）SYSENTER hook │ │ 6）SYSENTER hook.doc │ │ SysEnterHook.rar │ │ │ ├─7）IAT HOOK │ │ 7）IAT HOOK.doc │ │ HybridHook.rar │ │ testtest.rar │ │ │ └─8）EAT HOOK │ 8）EAT HOOK.doc │ 利用导出表来禁止一些驱动程序的加载.doc │ 导出表钩子.rar │ ├─2。保护模式篇章第一部分： ring3进ring0之门 │ ├─1)通过调用门访问内核 │ │ 1)通过调用门访问内核.doc │ │ myCallGate.rar │ │ test.rar │ │ │ ├─2)通过中断门访问内核 │ │ 2)通过中断门访问内核.doc │ │ myIntGate.rar │ │ │ ├─3)通过任务门访问内核 │ │ 3)通过任务门访问内核.doc │ │ MyTaskGate.rar │ │ │ └─4)通过陷阱门访问内核 │ 4)通过陷阱门访问内核.doc │ exe.rar │ src.rar │ ├─3。保护模式篇章第二部分：windows分页机制 │ 1）windows分页机制.doc │ ├─4。保护模式篇章第三部分：直接访问硬件 │ ├─1）修改iopl，ring3直接访问硬件 │ │ 1）修改iopl，ring3直接访问硬件.doc │ │ drv.rar │ │ exe.rar │ │ │ ├─2）追加tss默认IO许可位图区域 │ │ 2）追加tss默认IO许可位图区域.doc │ │ drv.rar │ │ │ └─3）更改tss IO许可位图指向 │ 3）更改tss IO许可位图指向.doc │ modifyiopmbase.rar │ porttalk.rar │ ├─5。detour 修改函数执行路径，可用于对函数的控制流程进行重定路径。 │ └─1）detour补丁 │ 1）detour补丁.doc │ Inline HOOK SeSinglePrivilegeCheck.rar │ ├─6. 隐身术 │ ├─1）文件隐藏 │ │ 1）文件隐藏.doc │ │ │ ├─2）进程隐藏 │ │ 2）进程隐藏.doc │ │ │ ├─3）注册表键值隐藏 │ │ 3）注册表键值隐藏.doc │ │ BypassRegMon.rar │ │ BypassRegMon2[1].idb.rar │ │ BypassRegMon_src.rar │ │ drv.rar │ │ HIVE文件读写.rar │ │ HIVE格式.rar │ │ HIVE格式解析.doc │ │ 注册表监控弱点演示程序 v0.2 逆向ASM源码及相关资料.doc │ │ │ ├─4）驱动隐藏 │ │ 4）驱动隐藏.doc │ │ │ ├─5）进程中dll模块隐藏 │ │ 5）进程中dll模块隐藏.doc │ │ │ ├─6）更绝的隐藏进程中的dll模块，绕过IceSword的检测 │ │ 6）更绝的隐藏进程中的dll模块，绕过IceSword的检测.doc │ │ │ └─7）端口隐藏 │ 7）端口隐藏.doc │ ├─7。ring0中调用ring3程序 │ ├─1) apc方式 │ │ 1) apc方式 .doc │ │ KernelExec.rar │ │ │ └─2) deviceiocontrol 方式 ├─8。进程线程监控 │ ├─1）监控进程创建 │ │ 1）监控进程创建.doc │ │ protect.rar │ │ │ ├─2）杀线程 │ │ 2）杀线程.doc │ │ │ └─3）保护进程和屏蔽文件执行 │ 3）保护进程和屏蔽文件执行 .doc │ sysnap.rar │ └─9。其他 ├─10）另一种读写进程内存空间的方法 │ 10）另一种读写进程内存空间的方法.doc │ ├─11）完整驱动感染代码 │ 11）完整驱动感染代码.doc │ 驱动感染成功[1].V 1.0.080528_sudami.rar │ ├─12）Hook Shadow SSDT │ 12）Hook Shadow SSDT.doc │ HookShadowSSDT.rar │ ├─13）ring0检测隐藏进程 │ 13）ring0检测隐藏进程.doc │ Ring0下搜索内存枚举隐藏进程.doc │ ├─1）获取ntoskrnl.exe模块地址的几种办法 │ 1）获取ntoskrnl.exe模块地址的几种办法.doc │ ├─2）驱动感染技术扫盲 │ 2）驱动感染技术扫盲.doc │ InfectDriver.rar │ ├─3）shadow ssdt学习笔记 │ 3）shadow ssdt学习笔记.doc │ ├─4）高手进阶windows内核定时器之一 │ 4）高手进阶windows内核定时器之一.doc │ WorkItem.rar │ ├─5）高手进阶windows内核定时器之二 │ 5）高手进阶windows内核定时器之二.doc │ TimerWorks.rar │ ├─6）运行期修改可执行文件的路径和Command Line │ 6）运行期修改可执行文件的路径和Command Line.doc │ ImgPathChanger.rar │ ├─7）查找隐藏驱动 │ 7）查找隐藏驱动.doc │ ├─8）装载驱动的几种办法 │ 8内核模式下装载驱动和原生态应用程序.pdf │ 8）装载驱动的几种办法.doc │ Loading drivers and Native applications from kernel mode, withou t touching registry.rar │ └─9）内核中注入dll的一种流氓方法 9）内核中注入dll的一种流氓方法.doc Apc.rar

iOS 逆向 -微信 helloWorld 一、 前言 本篇主要制作微信的 tweak，实现在非越狱版的手机上进行 hello World 弹窗，从而熟悉 iOS 逆向相关的工具(不包含lldb远程调试、反汇编技术等)，以及了解 tweak 的主要流程(其实就是如何制作插件的过程)。 warn：本篇只是我在操作过程中的一点总结，并不深入讲解原理。若想深入了解可以查看或者看文章最后的参考文档。 基本原理： 通过 app 启动时调用我们注入的动态库，从而进行 hook 。而之所以能够执行我们注入的动态库，是因为使用了mobilesubstrate 这个库，这个库能在程序运行的时候动态加载我们注入动态库。而非越狱手机里面是没有的，所以我们需要直接将这个库打包进 ipa 中，使用它的 API 实现注入。mobilesubstrate 库在下面的 github 中有提供，即是libsubstrate

http://blog.csdn.net/v6543210/article/details/44276155 EasyHook远程进程注入并hook api的实的示例。

Hook技术activity启动过程中拦截（无需在androidmanifest文件注册即可使用）

对Windows系统API，包括RegCreateKeyEx、RegSetValueEx、RegDeleteKey、RegDeleteValue、CreateFile等进行hook，并将相关信息记录下来，适宜初学者学习使用。

本文经网络资料综合整理，以下面的顺序细致讲解HOOK的大部分内容，适合学习HOOK的朋友参考：  1、WINDOWS的消息机制 2、HOOK介绍 3、HOOK链 4、HOOK钩子的作用范围 5、HOOK类型 6、回调函数 7、HOOK钩子的安装与卸载 8、HOOK实例演示

DELPHI编写的HOOK API实现DLL全局钩子启动记事本的程序-.rar DELPHI编写的HOOK API实现DLL全局钩子启动记事本的程序-.rar

有关linux内核模块编写，有关使用dev_queue_xmit、dev_hard_start_xmit的方法实现数据包的发送的内核模块的相关资料整理

易语言HOOK服务器源码系统结构:Hook_recv,枚举模块,getbyte,创建系统快照,取模块信息,取下个模块信息,取模块句柄,关闭系统快照,VirtualProtect, ======窗口程序集1 || ||------__启动窗口_创建完毕