PC逆向 查询内存

讨论了Windows操作系统中广告问题，然后转向了虚拟机的安装与64位开发的重要性。详细讲解了在开发过程中需要实现的功能，如模块查询、内存读写、内存查询、模块获取、申请内存和创建现场等，并强调了内存加载器和驱动自加载的重要性，以及通信模块的设计。最后提到了云下发和封装成DLL的技巧，但易语言的学习暂时被搁置。

07:07 - 驱动和阿3的deal调用模块签名问题讲解

讨论了如何将驱动集成到调用模块中，确保在不同电脑上加载驱动的兼容性问题。提到了签名的重要性，包括签名的校验机制、时间戳校验以及如何通过提供多个签名来提高兼容性，从而解决加载率问题。还提到，通过使用过期的签名和有时间戳的签名，可以达到较高的兼容性，接近百分百。最后，表示会提供多种签名以供选择，保证驱动的兼容性和加载率。

10:59 - 软件项目开发计划安排和对职场影响的讨论

对话中讨论了软件项目的开发计划，包括功能实现、通信处理、单元测试、模块加载测试、自动化测试、加解密和签名以及发布流程。强调了对于小型项目的简单设计和实用主义态度，指出不需要过度关注设计模式。同时，提到了避免将个人技术背景与工作描述过于关联，以免产生不良影响。另外，建议学习特定技术框架以提高技能水平。尽管存在技术问题，如蓝屏错误，但项目最终得到了恢复。

15:49 - 编写简单MFC界面小工具的建议与思考

讨论了编写简单MFC界面小工具的可行性和用途，强调了简洁功能设计的重要性，并提到了获取代码资源的方法。同时，提到了一些关于行业内部做法的观察，包括对工作与个人项目之间界限的探讨。

20:33 - 解决Windows 7卡顿问题及NT与Zw函数调用差异

讨论了Windows 7系统卡顿问题，可能原因包括未使用固态硬盘以及C盘存储过多导致预加载目录积累和应用程序生成的文件过多。另外，探讨了在内核下调用NT和Zw系列函数的差异，NT系列函数调用效率更高，不会被EDW拦截，而Zw系列可能会因调用模式不同而引发问题，需绕过特定模式调用。最后提到提供了一些功能文件来帮助解决相关问题。

28:48 - 系统内存查询兼容性设计讨论

在讨论中，讨论了在64位系统中处理32位和64位应用程序查询内存时的兼容性问题。提到为了保证兼容性，需要定义统一的结构来处理这些查询，并且需要考虑到不同位数的系统对内存地址的不同处理方式。讨论还涉及到如何通过重新定义结构以适应64位系统，同时确保32位应用程序能够按照64位格式发起请求，以实现最佳的兼容性和性能。此外，还讨论了如何通过添加前缀来统一结构名称，以及如何打开进程以进行内存查询。

34:53 - 技术细节：进程状态检测与模式更改

讨论了在特定环境下如何判断进程状态、处理进程退出状态以及如何更改系统调用模式以实现三环调用功能。讨论中涉及到了进程状态的判断，如进程退出状态的检测，以及通过修改系统调用模式来确保能够执行内核态下的操作，强调了在64位系统中模式的转换，并解释了如何通过代码实现这些功能。

46:13 - 分析和调用进程信息的程序逻辑

讨论了在编程中查询和处理进程信息的逻辑和方法，特别强调了如何处理进程和线程的标识符，以及在获取和使用进程信息时应注意的细节，包括结构体的使用、长度的验证和返回值的判定。

57:19 - 软件调试和异常处理讲解

讨论了在软件调试中，如何通过CE选择块进行对比，以及如何检查64位进程的准确性。提到使用SSDT进行调试的方法，并讨论了导出函数和异常处理的相关问题。此外，还预告了未来关于内核下的异常处理教学内容。

01:02:19 - 解析内核函数定位和异常处理机制

讨论了如何通过PE文件中的异常目录解析出函数头地址，涉及到32位与64位系统异常处理机制的差异。64位系统中，异常处理是通过文件内嵌和异常目录实现的，而32位系统则通过KPCR中的逆向链表进行。还提到了SSDT的加入和查询模块、县城创建模块的开发目标，以及对页表机制的讲解和内存申请方法。