论文部分内容阅读
DK0M,直译就是“直接内核对象操作”,即通过直接修改内核数据来达到我们的某些目的。一提起DKOM.大多人的第一印象就是它能用于“进程的隐藏和防杀”。隐藏进程最经典的方法就是断链,防杀就是修改诸如ApcQueueable之类的位置。当然,这些都是老黄历了.这里就不多说了。一般修改内核数据的驱动代码如下: