b0fe6072 8bff            mov     edi,edi
b0fe6074 55              push    ebp
b0fe6075 8bec            mov     ebp,esp
b0fe6077 8b0da801ffb0    mov     ecx,dword ptr [TesSafe+0xd1a8 (b0ff01a8)]
b0fe607d baa801ffb0      mov     edx,offset TesSafe+0xd1a8 (b0ff01a8)
b0fe6082 32c0            xor     al,al
b0fe6084 3bca            cmp     ecx,edx
b0fe6086 741f            je      TesSafe+0x30a7 (b0fe60a7)
b0fe6088 56              push    esi
b0fe6089 8b7508          mov     esi,dword ptr [ebp+8]
b0fe608c 3b71dc          cmp     esi,dword ptr [ecx-24h]             ；比较目标是否在白名单中
b0fe608f 7408            je      TesSafe+0x3099 (b0fe6099)
b0fe6091 8b09            mov     ecx,dword ptr [ecx]                    ；链表
b0fe6093 3bca            cmp     ecx,edx
b0fe6095 75f2            jne     TesSafe+0x3089 (b0fe6089)
b0fe6097 eb0d            jmp     TesSafe+0x30a6 (b0fe60a6)
b0fe6099 8b550c          mov     edx,dword ptr [ebp+0Ch]
b0fe609c ff41fc          inc     dword ptr [ecx-4]
b0fe609f 8551e4          test    dword ptr [ecx-1Ch],edx
b0fe60a2 7402            je      TesSafe+0x30a6 (b0fe60a6)
b0fe60a4 b001            mov     al,1
b0fe60a6 5e              pop     esi
b0fe60a7 5d              pop     ebp
b0fe60a8 c20800          ret     8

  之前有人分析过是个数组结构存储允许访问的eprocess ，现在改成了链表结构。

[TesSafe+0xd1a8 ]  存储链表指针

                    0     下一个链表节点地址
                  -24h   进程eprocess结构

同时其好像已经不hook NtOpenproces 和 NtOpenThread了

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课