支持x64,反一切R3下的常规Hook，完全基于Baby大佬的KiFastSystem...

宇智波

前言

• 本程序完全基于Baby大佬的Kernel，保留Baby大佬的一切权限！
  

原理部分介绍：

• 以“OpenProcess”这个大家熟悉的API为例子：
  

• [size=1pc]程序若其中任意一步被Hook，则相当于“OpenProcess”被Hook了

  [size=1pc]但是，这也启发了我们一些东西，假如我们去直接用SSDT编号调用Api的话，是不是相当于接近了内核，那么直接Hook“OpenProcess”或者“ZwOpenProcess”是也无效了？（理论上，这个方法可以绕过R3下一切的常规Hook，我们根本没有调用“ZwOpenProcess”，IAT，EAT钩子理论上全部失效！）

  
  程序例子：
  • 首先先编写好代码：
  • 
  • 没有Hook下直接调用ZwSuspendProcess：
    
  • • 有Hook的情况下：
      
    • 这时调用KiSuspendProcess：
      
    • 你会发现，Hook根本对它没有效果，程序任然按照计划执行的
      
    
    最后声明
    • 本程序完全基于Baby大佬的Kernel，保留Baby大佬的一切权限！
    • 
      
    • 下载链接：
    • https://t00y.com/file/20110282-443030258
      
      
      
    •