在 win10 中,该成员在 _eprocess 结构中的偏移如下:
dt _eprocess:
...
...
+0x6ca Protection : _PS_PROTECTION
...
...
将这个成员修改为 0x72
(参考 System 进程的值) ,就可以让一个普通的进程(如 NotePad)变成受保护状态,在 Pchunter 里看到的就是 应用层访问拒绝 。
在 win10 中,该成员在 _eprocess 结构中的偏移如下:
dt _eprocess:
...
...
+0x6ca Protection : _PS_PROTECTION
...
...
将这个成员修改为 0x72
(参考 System 进程的值) ,就可以让一个普通的进程(如 NotePad)变成受保护状态,在 Pchunter 里看到的就是 应用层访问拒绝 。