观x 2.0  感

IofCallDriver  删除文件    eat  钩子


IoRegisterDriverReinitialization  请 eat 挂钩


KeInsertQueueApc  请 eat 挂钩


MmGetSystemRoutineAddress  驱动中动态调用得到已经被ntoskrnl.exe、hal.dll导出的函数的实际地址


MmUnmapViewOfSection  保护进程内存


ObReferenceObjectByName  获得驱动对象


ZwOpenFile得到设备句柄，然后调用ObReferenceObjectByHandle得到设备对象指针


PsSetCreateProcessNotifyRoutine  进程线程监控


PsSetCreateThreadNotifyRoutine    进程线程监控


PsSetLoadImageNotifyRoutine


RtlPrefetchMemoryNonTempora  通过文件对象指针，使用它的Vpb域，获取对应的设备对象所在设备栈顶层的设备对象指针(文件和设备的关联关系)





用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.33 Safari/534.3 SE 2.X MetaSr 1.0