我注释了内核中事件的设置函数，但用户层却还能接收到事件消息很奇怪，相关代码：
/****设置内核事件对象****/
RtlInitUnicodeString(&ProcessEventString, EVENT_NAME);
        pDevExt->ProcessEvent = IoCreateNotificationEvent(&ProcessEventString, &pDevExt->hProcessHandle);
        KeClearEvent(pDevExt->ProcessEvent);       
/***设置回调函数****/
PsSetCreateProcessNotifyRoutine(MyPorcessNotify,FALSE);
/*****回调函数，注意其中已注释掉了事件设置函数***/
VOID MyPorcessNotify(IN HANDLE ParentId,IN HANDLE ProcessId,IN BOOLEAN Create)
{
PDEVICE_EXTENSION pDevExt = (PDEVICE_EXTENSION)pd_object->DeviceExtension;

DbgPrint("sdf");
pDevExt->hProcessId=ProcessId;
//KeSetEvent(pDevExt->ProcessEvent, 0, FALSE);
        //KeClearEvent(pDevExt->ProcessEvent);
}
补充一下用户层的代码：
DeviceIoControl(hDevice,IOCTL_PROCESS_NOTIFY, NULL, 0,NULL, 0, &dwOutput1, NULL);
        HANDLE hProcessEvent = ::OpenEventW(SYNCHRONIZE, FALSE, EVENT_NAME);
       while (::WaitForSingleObject(hProcessEvent, INFINITE))
        {
                MessageBox(NULL,_T("sdf"),_T("SDF"),NULL);
               
        }
很奇怪为什么已经注释了事件设置函数，用户层还受到了消息求解

[课程]FART 脱壳王！加量不加价！FART作者讲授！