具体方法,是在这个函数体中判断,现将其下发,得到复制后的句柄后,通过ZwQueryInformationProcess 查询,得到持程序的 pid ,最后,与我们的程序的PID 比较,如果是我们要保护的,则将其句柄值清0 ,返回访问错误。。。
这里我犯了三个错误:
1:使用函数的时候,没有注意函数是否有效,也就是,在使用一些可能被别人挂钩过的函数时,我们还是先通过自己搜索比较好。
2:在函数中,只需要调用一次底层的函数就可以了
3:在发现时我们要保护的程序后,我们要将其句柄关闭,不然,复制的过程仍然可能成功。。。