-
-
[求助]请教一下这段InlineHook为什么会蓝屏呢
-
发表于:
2015-5-4 23:42
5105
-
[求助]请教一下这段InlineHook为什么会蓝屏呢
extern "C" NTSTATUS __declspec(naked)(__stdcall MyNtOpenProcess)(
PHANDLE ProcessHandle,
ACCESS_MASK DesiredAccess,
POBJECT_ATTRIBUTES ObjectAttributes,
PCLIENT_ID ClientId)
{
NTSTATUS rc;
HANDLE PID;
if( (ClientId != NULL) )
{
PID = ClientId->UniqueProcess;
if(PID==MyPID)
{
//KdPrint(("被保护进程 MyPID=%d \n",(int)MyPID));
// 如果是被保护的PID,则拒绝访问,并将句柄设置为空
ProcessHandle = NULL; //这个是关键
rc = STATUS_ACCESS_DENIED; //这个返回值
__asm
{
retn 0x10 //执行保护后的返回
}
}
}
__asm
{
push 0x0C4
mov edx,RealNtOpenProcess
add edx,5
jmp edx
}
}
大概一分钟左右就蓝屏。ClientId->UniqueProcess也不是这个引起的。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课