优点:解决了程序用了indirect syscall时候直接去ntdll.dll调用syscall指令的问题 这里我感觉就是找到kernel32的ADD RSP,68;RE指令以后,做了一个堆栈欺骗的操作把,调用完成后返回到这个指令的地址 而且这样用硬件断点结合VEH,去实时更改上下文寄存器直接更改几个syscall用到的rip、rax、r10,也不用我们自己构造stub存放在程序中了(构造stub还存在一个stub特征,混淆后还需要在text段涉及一个virtualprotect的调用问题) 代码非常不错,看完可以学一下硬件断点这个操作,当然只需要学习其优点,其中的get SSN 方法就中规中矩了