NTSTATUS NTAPI HOOK_NtCreateSection(PHANDLE SectionHandle,
                                                                        ACCESS_MASK DesiredAccess,
                                                                        POBJECT_ATTRIBUTES ObjectAttributes,
                                                                        PLARGE_INTEGER SectionSize,
                                                                        ULONG Protect,
                                                                        ULONG Attributes,
                                                                        HANDLE FileHandle)
{
...
   if (Protect & (PAGE_EXECUTE)&&(Attributes == SEC_IMAGE) && FileHandle)
...
}
我想在win8下通过HOOK NtCreateSection函数实现拦截进程的创建，但在xp,win7都能成功的代码，却在win8下失效了。我通过dbgprint（）打印输出信息，发现与以前版本的系统不同的是，一个进程的exe模块不再需要Protect & (PAGE_EXECUTE)和 Attributes == SEC_IMAGE这样的属性去创建进程，反倒是一些dll还是有这样的属性存在，这是为什么，有人深入研究过吗？

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)