by:wuyanfeng icesword 是通过 PspCidTable 这个表来遍历进程 PspCidTable 是个没有被 ntoskrnl.exe 导出这就涉及到如何定位 PspCidTable 问题icesword 是通过搜索特征串方式定位 PspCidTalbe. PspCidTable 是个 HANDLE_TALBE 结构. PsLookupProcessByProcessI... [阅读全文]

信息来源:驱动开发网(www . zndev . com) 文章作者:wuyanfeng icesword . exe 在执行时候会放出个驱动 ispubdrv . sys . icesword . exe 装载 这个驱动这个驱动安装后就不会卸载直到系统重新启动这可能是驱动中了 PsSetCreateThreadNotyRoutine . 下面是这个在 ddk 中介绍 /////////////... [阅读全文]