由上图可以发现瑞星的驱动inline 了一个函数


建议瑞星hookhelp驱动  inline 以下函数：：：


ObOpenObjectByPointer        防止打开其进程，江民挂钩了此函数


KeInsertQueueApc                  防止插APC终止其进程，江民也有


RtlImageNtHeader                  防止别人打开指定的PE模块，又是江民


PsLookupProcessByProcessId      防止通过ID得到Object，似乎x有



既然瑞星已经inline 一个函数了，就再勾上几个吧！！！






用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.33 Safari/534.3 SE 2.X MetaSr 1.0