对于IS或者DS::
inline hook ObOpenObjectByName
禁止打开ntos*.exe文件
和已经加载的FSD系统和Tcpip.sys.
另外为了防止ObCreateObject大法式打开文件在IRP_MJ_CREATE中也做处理～

对于那个RKU那个玩意，直接Zero掉DriverObject和DeviceObject,并断开那些链表。
最后就是KMSE,用ShadowWalker过滤个读比较简单～