Posted By Inking      

        此文为学习 《Rootkit...》 以及 SSDT Hook的妙用－对抗ring0 inline hook 后的成果。按照SSDT Hook的妙用－对抗ring0 inline hook 里说的，IceSword inline Hook 了 NtOpenProcess() 函数，但是当我自己写出代码的时候怎么也无法成功关闭IceSword，后来经过调试才发现我的 IceSword 在Hook了 NtOpenProcess() 函数的同时也 Hook 了 NtTerminateProcess() 函数，而且也是 inline Hook，不过由于在数 NtTerminateProcess() 在SSDT中的偏移的时候范了个错误，导致花了整整一天才得以发现，真是累人啊。

        代码基本上和 SSDT Hook的妙用－对抗ring0 inline hook 一文很相似，只是增加了 Hook NtTerminateProcess() 的部分。在写 Hook NtTerminateProcess() 时也碰到了个问题：不知道怎么得到 NtTerminateProcess() 的地址。我这里是保持 SSDT 的内容来实现的，但是这种方式并不是很好，要是之前 SSDT 的内容已经被修改过了怎么办呢？自己也找了相关资料，但是好像是通过扫描 NtTerminateProcess() 的特征码来实现的，不知道有没有更好的办法。

工程文件（包含我的IceSword版本，防止版本不一致导致的实验无法成功）请点击这里下载，由于没有写驱动加载和结束IceSword的代码，所以测试时请先用其它工具加载驱动，然后尝试在任务管理器里关闭IceSword。