KeInitializeApc在头部被hook，push地址后return，在XueTr中可以看见，但是直接恢复后重启
 
      其中SSDT函数的部分我是直接修改的服务表基址，直接转到我自己的函数里了，然后对比来访进程，是的话返回他的，不是的话返回我自己的，但是遇到KeInitializeApc这个，我就没办法了

      我考虑到jmp+我自己的函数，但是他在头部hook的，没有个5个字符位置给我jmp啊

      菜鸟刚学内核，可能很多语言词汇表述都不准确，望大牛们见谅，不胜感激。    


HOOK后：

804FBA46                  90    nop
804FBA47   68 20085689           push   89560820
804FBA4C  C3    retn
804FBA4D  088B 551083FA  or     byte ptr [ebx+FA831055], cl
804FBA53   028B 4D0C66C7  add    cl, byte ptr [ebx+C7660C4D]
804FBA59   0012    add    byte ptr [edx], dl
804FBA5B   0066 C7    add    byte ptr [esi-39], ah
804FBA5E                  40    inc    eax
804FBA5F                  0230    add    dh, byte ptr [eax]
804FBA61   0075 06    add    byte ptr [ebp+6], dh
--------------------------------------------------------------------------------------------分界线
804FBA64                  8A91 65010000  mov    dl, byte ptr [ecx+165]
804FBA6A                  8948 08    mov    dword ptr [eax+8], ecx

原函数：
kd> u KeInitializeApc l20
nt!KeInitializeApc:
804fba46       8bff                  mov     edi,edi
804fba48       55                    push    ebp
804fba49       8bec                 mov     ebp,esp
804fba4b       8b4508             mov     eax,dword ptr [ebp+8]
804fba4e       8b5510             mov     edx,dword ptr [ebp+10h]
804fba51       83fa02              cmp     edx,2
804fba54       8b4d0c              mov     ecx,dword ptr [ebp+0Ch]
804fba57       66c7001200      mov     word ptr [eax],12h
804fba5c        66c740023000  mov     word ptr [eax+2],30h
804fba62        7506                 jne     nt!KeInitializeApc+0x24 (804fba6a)
-----------------------------------------------------------------------------分界线
804fba64       8a9165010000   mov     dl,byte ptr [ecx+165h]
804fba6a       894808               mov     dword ptr [eax+8],ecx

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课