R3下通过HOOK KiFastSystemCall 拦截NtCreateSection
函数原形
NTSTATUS NTAPI NtCreateSection(OUT PHANDLE SectionHandle,   
                                                   IN ACCESS_MASK DesiredAccess,   
                                                   IN POBJECT_ATTRIBUTES ObjectAttributes OPTIONAL,   
                                                   IN PLARGE_INTEGER MaximumSize OPTIONAL,   
                                                   IN ULONG SectionPageProtection,   
                                                   IN ULONG AllocationAttributes,   
                                                   IN HANDLE FileHandle OPTIONAL   
                                                )
互斥还有信号量通信管道里面的POBJECT_ATTRIBUTES ObjectAttributes 参数都有同样的问题。
参数里面的ObjectName有时候会拦截不到。显示指针地址是空。可是驱动却有拦截到。而且这个问题只有在XP跟WIN03里面才会出现 WIN7以上都可以全部拦截下来。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课