完善驱动
观x 2.0 感
IofCallDriver 删除文件 eat 钩子
IoRegisterDriverReinitialization 请 eat 挂钩
KeInsertQueueApc 请 eat 挂钩
MmGetSystemRoutineAddress 驱动中动态调用得到已经被ntoskrnl.exe、hal.dll导出的函数的实际地址
MmUnmapViewOfSection 保护进程内存
ObReferenceObjectByName 获得驱动对象
ZwOpenFile得到设备句柄,然后调用ObReferenceObjectByHandle得到设备对象指针
PsSetCreateProcessNotifyRoutine 进程线程监控
PsSetCreateThreadNotifyRoutine 进程线程监控
PsSetLoadImageNotifyRoutine
RtlPrefetchMemoryNonTempora 通过文件对象指针,使用它的Vpb域,获取对应的设备对象所在设备栈顶层的设备对象指针(文件和设备的关联关系)
用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.33 Safari/534.3 SE 2.X MetaSr 1.0
