lsec

详解 Windows 未文档化功能 Instrumentation Callback，实现零侵入式 syscall 监控，可用于行为分析与安全对抗。

内存加载模拟系统DLL加载过程，但未正确处理TLS机制，引发读写错误。本文分析了这种错误的原因与解决方法。

本文详细介绍了COFF文件格式，并实现了一款COFF加载器，可以加载和执行C语言编译后的.obj文件。COFF加载器可以嵌入到安全产品中，作为一种动态代码执行引擎，执行由C代码编译成的动态代码。

介绍了CreateProcess注入的基本框架，基于此框架介绍四种不同的注入实现，最后给出检测和对抗方案。

PE数字签名校验漏洞可以使攻击者在不破坏原有数字签名的前提下，向合法签名的PE文件植入任意代码，文章详细介绍了该漏洞的原理和修复方案，并从安全软件的角度，提供了一种主动规避方案。

本文介绍了通过Hook的方式进行代码注入，重点介绍了Hook内核回调表和Hook EIP/RIP这两种Hook方法的原理、实现和检测。