64位初探：Set your process as protected-process

在64位操作系统上，设定你的进程为受保护进程，在Vista SP1及以上有效。具体的原理，给64位操作系统连上内核调试器以后dt nt!_eprocess就知晓了，我就不占篇幅贴过来，呵呵。

LONG ulFlag = 0;
PLONG plProtectedBits = NULL;

plProtectedBits = (PLONG)((PUCHAR)pEProcess + 0x43C);
ulFlag = *(PLONG)plProtectedBits;
InterlockedExchange(plProtectedBits,ulFlag|0x800);


我很奇怪，为什么PatchGuard没有蓝我呢？Kernel Patch Protection不是保护了DKOM么？各位帮我解疑哇~~~

注：我测试过正常环境下，也就是未连调试器，未开启/debug，也没有关闭UAC之类的。