这里分析的是6月18号的版本，由于某些原因这里隐去敏感内容

目前静态分析跟踪到7个系统线程创建，线程创建过程如下：

先判断hv是否存在

如果hv不存在则搜索SeSetAuditParameter中的FF E1特征码

根据如果成功搜索到上述fake thread entry则把线程入口指向上述entry，线程参数指向原真实线程入口（也就是rcx=真实线程入口，并且jmp rcx）

然后调用pscreatesysthrd创建系统线程

目前分析到的7个线程分别是：

CheckKSharedUserDataKdDebuggerEnabledThread

AntiKdDebuggerThread

CheckGameProcessDebuggedThread

CheckKeTimeAcceleratedThread

GameCommonCheckThread

sub_xxxxxxxx（作用不明，可能代码被注释或功能暂未实装）

判断KSHARED_USER_DATA->KdDebuggerEnabled & 1或 & 2 ?

每5秒检测一次，如果判断为true则蓝屏

如果系统版本大于等于win7则执行int2D指令触发SEH（由于静态分析无法分析SEH所以exception之后不知道发生了什么）

否则调用KdDisableDebugger

每5秒执行一次上述功能

ExecuteForGameProcess(AntiProcessDebug);对所有受XX保护的GameProcess执行AntiProcessDebug回调

如果EPROCESS.DebugPort != 0则触发蓝屏

上述检测每10秒执行一次

检测系统时间是否被加速，导致KeDelayExecutionThread的等待时间结果跟HalQueryRealTimeClock时间差不一致

如果时间不一致：

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课