http://bbs.kafan.cn/thread-426752-1-1.html

希望能改进 钩子，增强自保

用户系统信息：Mozilla/5.0 (Windows NT 6.3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.137 Safari/537.36 LBBROWSER

一、东方xxx为了保护自身进程，直接修改了NtTerminateProcess、PspTerminateProcess、NtOpenProcess三个内核文件；
二、东方xxx为了保护自身线程，通过修改 PsTerminateSystemThread 将对 PspTerminateThreadByPointer 的调用改为对 HookOfPspTerminateThreadByPointer 的调用，大概是针对目前流行的搜索 PspTerminateThreadByPointer 地址的方法而采取的措施，因为这样修改后，其它驱动程序基本上就搜索不到 PspTerminateThreadByPointer 的地址了。比较奇怪的是，xxx未对 PspTerminateThreadByPointer 进行挂钩，所以如果通过其它办法得到该地址，xxx就防不住了。采取IAT钩子的办法，修改其它所有驱动程序的 KeInsertQueueApc 地址，使其不能直接在xxx线程中插入APC。

已收集。