len(6) KiFastCallEntry[ntoskrnl.exe]
  [0x81183CD0]->[0x8DF595D3][C:\WINDOWS\system32\drivers\kisknl.sys]
Inline  E9 FE 58 DD 0C 90
8B FC F6 45 72 02



发现 很多软件 都是 inline 了  KiFastCallEntry 函数，这是金山的 10版本


数字也是这样做的


据说 ，比 瑞星的 挂钩方式 ，更底层一点！！！


因为 在 ring0层 ，挂钩 ssdt 无效 ！！！


而 挂钩  KiFastCallEntry  ，并且 用一个驱动 装载了 一部分 nt 函数 ！


这样ring0动作拦截 就不会失效，如：NtTerminateProcess 函数




金山和数字的工作 模式就是 通过一个驱动 装载如NtTerminateProcess这样的函数 ，并通过  KiFastCallEntry 来过滤 ，实现底层拦截




据说 江民也这样做了

用户系统信息：Mozilla/5.0 (Windows NT 6.3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.137 Safari/537.36 LBBROWSER

建议已收集。感谢您对瑞星产品的支持！