某保护一直写debugport，只有三种方法过（最少我只想得到）
1，R0下硬断点找出写0保护驱动代码处，处理掉
2，修改内核中所有函数对EPROCESS+BC处访问的偏移
3，EPROCESS+BC处直接让其内存无效，int 0xE缺页异常处理做HOOK

我选择了第二种，但总是蓝。 代码才几行，各位帮我分析分析原因。
void FindIoWriteCrashDump()
{
    unsigned char KeyCode[6] = {0x81, 0xC3, 0xBC, 0x00, 0x00, 0x00};
    ULONG i = 0x804d8000;
    for (; i < 0x804d8000+0x1f000000; i++)
    {
        __try
        {
            if ( MmIsAddressValid(i) )
            {
                if ( *((ULONG *)(i)) == *((ULONG *)(KeyCode)) )
                {
                    if ( *((short int *)(i+4)) == (short int)0x00 )
                        DbgPrint("ADD = %X", i);
                }
            }
        }
        __except(EXCEPTION_EXCUTE_HANDLER)
        {}
    }
}

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！