hook什么hook啊,弄脏了哥的内核数据。。。 ObReferenceObjectByHandle - NtTerminateProcess(Thread)
ObReferenceObjectByPointer - ObOpenObjectByPointer
ObReferenceObjectSafe - PsLookupProcess(Thread)ByProcess(Thread)Id
其中第三个在Xp上还能造成进程隐藏的效果.
PS:搞什么搞,我说的是在PspExitProcess或ObKillProcess里搞死循环,然后进程就"结束不掉"了.真是的,个人观点只能是个人观点.还有,硬编码"找茬"毕竟只能给系统找茬,在Xp上的多核和双核内核文件还有些函数头不一样呢.还是从导出函数找好,不过像微点这种**的,居然在PsTerminateSystemThread做CallHook,不过这样就好玩了,我们也可以拦截微点的处理函数......
页:
[1]