进程保护方面,可以通过在更高层级拦截NtOpenProcess API的调用来实现。使用inline hook技术,当尝试打开特定进程时直接返回失败,阻止进程的打开与终止。另一种方法是通过SSDT HOOK,例如卡巴斯基所采用的策略。SSDT中保存了系统服务的地址,通过HOOK KeServiceDescriptorTable[0ADh]下的服务地址,替换为自定义的...