ntfs.sys 中的IRP_MJ_CREATE被hook了,比较变态:
1. 用Gmer扫描能看到ntfs.sys的IRP_MJ_CREATE被hook了,为什么直接在windbg中或者用XueTr.exe中就看不到?
2. 直接在windbg中去掉这个hook也不能起效?
3变态的ntfs.sys 中的IRP_MJ_CREATE . 如何去除这个钩子?
哪位大牛,帮忙解释一下。
或者有哪些类似Gmer 或者 Malwarebytes Anti-Malware的工具能直接remove 这个变态的hook?
