帖子主题: [灌水]1001上面胡文亮同学的文章本人有点疑问。

快开学了  一个假期全打游戏了 临开学看看这些东西 算是对玩了一假期的一个补偿
问一哥们借了本1001的黑防（说起来我们这边买黑防还是比较麻烦的，尤其是我家的地理位置还不好），发现胡文亮同学的投稿积极性很高啊~~ 当然 也有些错误 在这儿说道说道~

先是那个模拟PspTerminateProcess的
里面有一句“本文使用的KeInsertQueueApc的第二个参数是APC指针，第四个参数是2。”，这个很难理解，1234567890十个数字为什么非要选2呢？后面说，“许多挂钩KeInsertQueueApc的驱动在判断函数里只判断最后一个参数是不是2，如果不是……”，这个2到底是做什么用的通篇也没说出来，有点像所谓的magic number。希望胡文亮同学能介绍一下其中的道理。
这儿还有一句话是“一是第一种方式容易导致APC重入造成蓝屏”。APC重入这个也确实很新鲜，Google了一下也没什么相关信息，无论是以“APC重入”还是“APC re-enter”都搜不到相应的说明。另外，就apc的实现来说，也没有发生重入的道理。不知道胡文亮同学是从哪儿经过证实（以前胡文亮同学要求我说话要有根据，所以相比胡文亮同学写文章也都是很有根据的），有什么理论根据这会导致重入呢？也希望胡文亮同学解答一下。
后面有一句“虽说理论上线程ID的上限是2^32-1”，这个显然不对，以前我也分析过相关的一些东西，至于上限具体是多少，为了胡同学以后的文章的准确性，还是请胡文亮同学自己去找相关的理论依据。
还有一句“我们只考虑绝大多数的情况，不用考虑最极端的情况。”，而胡文亮同学在某篇稿子说“这也不符合我要么不做，要么做绝的做事风格”，这个。。
另外，其实6W多跟最大值相比，应该是一个最小极端了 最大极端很大的~~，一个进程可以启动以后通过特殊的createthread，占住tid，然后退出线程，来绕过胡同学这种结束进程的方法（而且不增加线程数量）。
后面的“且不说修改线程ID对线程稳定性的恶劣影响，其实如果rootkit摘链要保护的线程的的话，也可以逃过枚举ThreadHeadList得到线程的方式。”这个很奇怪，我不知道修改tid跟threadheadlist有什么关系？
后文还有一个“听小华子说江民杀毒软件对PspCidTable的访问做了处理。”这个好像是几年前说的了…… 也不知道胡文亮同学有没有考证就在这儿引用。我很好奇一个杀毒软件是如何控制其他驱动访问内存的呢？PAGE HOOK？暂时没听说KV用这些东西。所以也请胡文亮同学讲讲具体KV的做法。

然后是那个阻止ark启动的
“要么不做要么做绝”就是这篇的。
里面有一句“进程ID填写什么呢？建议填写Idle进程的ID”，看前文的代码，这个进程ID是需要传递给OpenProcess，显然，Idle如果说它是进程的话，它的PID就是0，然后OpenProcess用0去PspCidTable里面找相应的ProcessObject，那显然会失败的，所以这个建议我觉得有点儿没道理，请胡文亮同学给与讲解。
这篇从胡文亮同学的文章来看，主要以恶心为主，技术上的东西不多，所以我的疑问也不多，呵呵。

基本就是这么多了，也希望胡文亮同学能够给我一个满意的答复，在以后的文章中讲得更加到位、彻底。

磨败炒鸡大炉子。

不好意思，打错字了。

2、3L是胡文亮同学吗？

假定是吧 除了胡同学一般也没人进行分裂了

胡同学解答一下我的问题吧

明白了，原来胡文亮有超自然能力，能在多个地点同时出现。炒鸡大驴子，请去查一下我的IP再说话。

额。。。
建议LS还是能回答问题就回答问题吧。。

#6：刚才给你发了封邮件，查收一下。

不明真相的群众路过~

您查询的IP:113.107.*.*
本站主数据：广东省 电信
参考数据一：广东省 电信
疑似胡同学
PS:我也差不多玩了一个寒假