写的一个hook 内核的nt!NtOpenProcess驱动,在虚拟机下运行正常,在真实机上测试,发现没过多久蓝屏,用windbg查看dump文件,显示出我hook它的地址,然后查资料http://blogs.msdn.com/b/ntdebugging/archive/2010/08/10/debugging-a-bugcheck-0x109.aspx
感觉是微软的PatchGuard做的保护。
那那些64位的r0层的hook是怎么做的?!不科学吧竟然有这东西保护,那64位个杀软又是怎么Hook啊!?
有这个东西都不让人hook拉
感觉是微软的PatchGuard做的保护。
那那些64位的r0层的hook是怎么做的?!不科学吧竟然有这东西保护,那64位个杀软又是怎么Hook啊!?
有这个东西都不让人hook拉