window 保护模式

实模式：在实模式下，内存是以段:段内偏移的方式寻址的，所操作的地址都是物理地址，并且所有的段都是可以读、写、执行的，就相当于直接运行在机器之上的程序，没有任何保护措施。 保护模式：有段保护和页保护，为了将程序之间的（内存）空间隔离开。

进程重影

进程重影VNctf2023-jijiji考点这次通过出题分享了一个我最近才学到的一种静态的免杀方式。内核下的进程创建过程调用CreateProcessW 调用CreateProcessInternalW 参数检查 获取进程文件路径 调用 BasepMapFile映射