通过修改API函数开始前5字节,跳转到自定义API的方式,截获函数调用. 支持Win95,Win32等系统,在WinXp sp2或以后系统中使用,会出现蓝屏,原因是程序修改了代码的页面权限为PAGE_READWRITE,导至WinXP Sp2的系统保护功能出现蓝屏,只需将源代码里的所有PAGE_READWRITE修改为 PAGE_READWRITE_EXECUTE即可正常使用.

用DDDK编写驱动,修改SSDT表HOOK NTDebugActiveProcess函数 钩子函数中可以判断PID号,决定是否放行,放行则在钩子函数中调用原来的NTDebugActiveProcess函数.否则直接返回False.HOOK成功后所有调用DebugActiveProcess的程序将会失效.当然可以按照你的需要HOOK更多的系统服务函数.同一服务函数的服务号在每个操作系统版本中是不同的.下面附件中编译完成的驱动请在WinXP SP2的环境下测试.否则可能会导致直接重启