前言
本程序完全基于Baby大佬的Kernel,保留Baby大佬的一切权限!
原理部分介绍:
以“OpenProcess”这个大家熟悉的API为例子:
程序若其中任意一步被Hook,则相当于“OpenProcess”被Hook了
但是,这也启发了我们一些东西,假如我们去直接用SSDT编号调用Api的话,是不是相当于接近了内核,那么直接Hook“OpenProcess”或者“ZwOpenProcess”是也无效了?(理论上,这个方法可以绕过R3下一切的常规Hook,我们根本没有调用“ZwOpenProcess”,IAT,EAT钩子理论上全部失效!)
程序例子:
首先先编写好代码:没有Hook下直接调用ZwSuspendProcess:
有Hook的情况下:
这时调用KiSuspendProcess:
你会发现,Hook根本对它没有效果,程序任然按照计划执行的
最后声明
本程序完全基于Baby大佬的Kernel,保留Baby大佬的一切权限!