在严峻复杂的矿山作业环境下，断链保护器作为一项不可或缺的安全技术装备，扮演着守护生命财产安全、维护生产秩序的关键角色，特别是在确保矿山机械稳定高效运行方面，其价值和意义显得尤为重要。         一、强化安全基石，守护矿山命脉         矿山机械，如庞大的输送带系统和至关重要的提升设备，常处于极端负载与严苛工况之下，任何微小的链条故障都可能引发连锁反应，造成重大的

截止到昨天那里我们的思路就清晰了，通过EPROCESS找到我们要隐藏的进程的ActiveProcessLinks，将双向链表的值修改，就可以将我们想要隐藏的这个进程的ActiveProcessLinks从双向链表中抹去的效果，这里的话如果在windbg里面直接使用ed修改的话是比较方便的，但是如果要使用代码来进行修改的话就需要首先定位到EPROCESS 在ETHREAD的0x220偏移得到Thr

那么我们首先定义_PEB_LDR_DATA和_LDR_DATA_TABLE_ENTRY结构 // LDR链表头typedef struct _PEB_LDR_DATA{DWORD Length;bool Initialized;PVOID SsHandle;LIST_ENTRY InLoadOrderModuleList; // 指向了 InLoadOrderModuleList 链表的第一

每个线程都有一个TEB结构来存储线程的一些属性结构，TEB的地址用fs:[0]来获取，在0x30这个地址有一个指针指向PEB结构 然后定位到PEB，PEB就是进程用来记录自己信息的一个结构，在PEB的0x00c偏移有一个 Ldr _PEB_LDR_DATA结构跟进去 在_PEB_LDR_DATA里有三个双向链表 InLoadOrderModuleList：模块加载的顺序 InMem

3环断链以及断链后的方法 我们在3环注入代码很多时候会选择注入dll，因为纯粹的硬编码不方便写出大量功能，而且不容易维护所以很多时候我们会通过各种方式让我们的dll注入到目标地址空间中，其中有一些方式可以不需要我们自己对dll处理重定位而是借助pe加载器让系统帮助我们处理重定位，但是就会导致我们的dll会在目标的peb中可见，也就是留下了痕迹。 这时就可以通过3环断链的方式隐藏这一部分痕迹。

注意 ： 此方法会触发 PG 代码参考 1 typedef struct _driverdata{LIST_ENTRY listentry;ULONG unknown1;ULONG unknown2;ULONG unknown3;ULONG unknown4;ULONG unknown5;ULONG unknown6;ULONG unknown7;UNICODE_STRING path;UN