在网上查询了一些朋友对clone速度慢的看法，主要归纳有：第一点有以下链接可以参考（1）需要Science 上 网，具体怎么操作点击链接https://blog.csdn.net/weixin_34248258/article/details/93164003（2）这个操作就比较骚，简单来说就是将Github上的项目导到码云这个平台，众所周知，下载国内的东西就是快！https:...

一、过滤的概念：　　过滤是在不影响上层和下层接口的情况下，在Windows系统内核中加入新的层，从而不需要修改上层的软件或者下层的真是驱动程序，就加入了新的功能。1.1 设备绑定的内核API　　进行过滤的最主要的方法是对一个设备对象（Device Object）进行绑定。通过编程可以生成一个虚拟设备对象，并“绑定”（Attach）在一个真实的设备上。一旦绑定，则本来操作系统发送给真实设备的请求，就

使用ndisprot发送包1.小端口驱动的发包接口2.发送控制块TCB3.遍历包组并填写TCB4.写请求的构建与发送使用ndisprot接收包1.提交数据包的内核API2.从接收控制块(RCB)提交包3.对ndisprot读请求的完成函数4.读请求的发送5.用于读包的WDF工作任务6.ndisedge读工作任务的生成与入列其他的特征回调函数的实现1.InitializeHandler2.HaltH

背景所谓的进程伪装，指的修改任意一个指定进程的信息，是它的信息在系统中的显示是另一个进程的信息，这样看来，指定的进程就像是被伪装的进程一样，因为进程信息相同，但实际上，它还是原来的进程，做着原来的进程操作。实现原理具体实现原理如下：（1）首先通过OpenProcess函数获取指定PID进程的句柄（2）然后，通过GetProcAddress获取位于ntdll.dll动态链接库中的NtQueryInf