在HookSSDT中 通过在第4部通过索引将NtOpenProcess 换成 Base[索引] = FakeNtOpenProcess;
so 在阻止时应该在ntoskrnl.exe 找到真正的OpenProcess的地址 然后替换上去
Resume Hook SSDT
爱程序 不爱bug
爱生活 不爱黑眼圈
我和你们一样 我和你们不一样
我不是凡客 我要做geek
在HookSSDT中 通过在第4部通过索引将NtOpenProcess 换成 Base[索引] = FakeNtOpenProcess;
so 在阻止时应该在ntoskrnl.exe 找到真正的OpenProcess的地址 然后替换上去