关于某保护检测内核软件原理

zhuer

准备看看 np 是否更新 保护 方式，发现 xuetr 等一些工具都被检测出来了，
于是用自己编写的工具 检查下 SSDT SHADOW IDT  ，发现只要枚举 这几个表
np马上就发现了，提示非法软件，很是不明了，我自己的软件没有外流的可能。。
查看 HOOK 他HOOK 的函数，没有对应相关函数能影响到 枚举上述表，难道是传说
中的行为检测

红股

会不会hook了你枚举表所用到的函数了！？

活辣椒

把自己驱动隐藏一下试试

zhuer

没HOOK 枚举那些函数，不知道啥子原理，这次好像厉害了，还检测是否有HOOK 有就提示非法软件，同时还如果打不开或注入不了进程，就提示非正常软件。