[反调试 r0] KdDisableDebugger

原理

这是微软提供的一个 api ， KdDisableDebugger 例程禁用内核调试器。

NTSTATUS KdDisableDebugger();

---

应用

直接调用这个 api 可以让 windbg 与被调试机器脱离，对抗的方法就是 hook 这个 api ，在开头返回 STATUS_SUCCESS 。