建议改进挂钩方式

len(6) KiFastCallEntry[ntoskrnl.exe]
  [0x81183CD0]->[0x8DF595D3][C:\WINDOWS\system32\drivers\kisknl.sys]
Inline  E9 FE 58 DD 0C 90
8B FC F6 45 72 02



发现 很多软件 都是 inline 了  KiFastCallEntry 函数,这是金山的 10版本


数字也是这样做的


据说 ,比 瑞星的 挂钩方式 ,更底层一点!!!


因为 在 ring0层 ,挂钩 ssdt 无效 !!!


而 挂钩  KiFastCallEntry  ,并且 用一个驱动 装载了 一部分 nt 函数 !


这样ring0动作拦截 就不会失效,如:NtTerminateProcess 函数




金山和数字的工作 模式就是 通过一个驱动 装载如NtTerminateProcess这样的函数 ,并通过  KiFastCallEntry 来过滤 ,实现底层拦截




据说 江民也这样做了

用户系统信息:Mozilla/5.0 (Windows NT 6.3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.137 Safari/537.36 LBBROWSER
君素雅达,必不致令我徒劳往返也