自上回发现对象引用计数后，再次在Win10上进行测试，发现大概率又卡死在ExWaitForRundownProtectionRelease函数。因为只有引用计数在调用这个函数之前不为0，就会进入等待。那么PCHunter是怎么处理引用计数的呢？Why not reverse it?

首先我们通过WinArk设置一个镜像回调拦截驱动加载。这里感谢砍酱的提醒，如果PCHunter已经启动过了，那么pchunter关闭的时候不会卸载驱动。所以需要手动卸载后再拦截。

拦截到驱动后

拖入IDA，上ret-sync。

我们使用一个DelProtect.sys，作为测试驱动，然后依旧选择移除过滤器，函数断下

此时我们通过下面的指令查看当前线程函数入口

可以看到函数地址为0xfffff80477666a18

在IDA中转到

通过交叉引用，可知此为r0接口处理处

再往上走就是其他一堆功能函数了

继续分析，我们对这个功能函数下断，从头跟踪一次，因为FltUnregisterFilter 已经走到很后面了。

我们使用命令查看返回地址之前的反汇编

由此rax指向的函数就是FltUnregisterFilter ,线程函数的context传入的是PFLT_FILTER。

继续分析这里面还有一个rbx指向的函数指针。

综上这个线程函数分析完毕，姚老师不是在线程函数里完成_FLT_OBJECT的对象引用计数递减的。

继续进行函数调用上层分析，根据内核编程基础，可直接推测在创建线程后，对_ETHREAD增加引用计数，然后进行等待，等待完成后解引用对象，最后关闭线程句柄。

由此分析完毕，这个函数也不是我们想找的。

继续往上分析，也无大发现。

静态分析无果，Windbg动态调试。

我们跟踪一下哪里调用进来的这个函数。下断返回地址。

然后就断下来了。

F10 一步步单步返回。

调试过程中出现了一些异常，为了避免跑飞啥的，下个ret处的断点。

最后我们回溯到了DriverObject的0xE函数里。

总感觉真的少了点什么步骤，因此我们在这里下个断点，放过去，然后加载卸载其他文件过滤驱动。从头来一次。

再次选中卸载一个微软驱动的微过滤器，后我们断在了DispatchHandler里。

一步步的调试，并为IDA添加注释。

这里我们不再断在线程函数里。

g放行，第二次断下到call ebx, 看了一下再初始化内存为0，然后没有传递相关微过滤驱动相关的东西，猜想应该是摘掉后遍历一次。直接放过去。

我们试试手动刷新会调用到哪里进行验证，确实如此。

第二次也断在同样的地方。由此逻辑就是刷新会调用两个功能函数。而移除后进行了刷新的调用。因此移除的功能只涉及一次函数调用。

白干了！PCHunter不卡的原因是他启用的系统线程去处理的？因为经过逆向分析，Windows 10 确实啥也没做。他不卡是因为创建了系统线程去跑，能不能摘掉就听天由命了。不信看官自己试试，他也摘不掉。

证明方法：通过遍历系统进程的线程，然后搜函数地址为0xFFFFF80477666A18的线程

综上所述，解决思路就是用系统线程去跑，如果没摘掉再跑一次，等到对象引用计数降为为0然后就摘掉了

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课