Tesla.Angela 发表于 2021-8-18 14:31:50

Cloutain 发表于 2021-8-18 09:20
最近看PCHunter代码的时候,怪不得扫描钩子会用到NTFS函数,莫非是这个原因

看发帖日期,这是9年前的帖子了。。。

这种方法其实没啥用,枚举所有的句柄然后关闭NTOSKRNL文件的句柄就行了。

下面这种方法还算有点难度:
http://www.m5home.com/bbs/thread-9248-1-1.html
http://www.m5home.com/bbs/thread-9249-1-1.html

qwqdanchun 发表于 2021-9-16 20:35:02

学习一下
页: 1 [2]
查看完整版本: 一个阻止ARK启动的方法:独占访问内核文件