厚脸皮 更新以包括图像加载和线程创建回调。 随附的博客文章： : TL：DR 防病毒和端点检测与响应产品使用内核回调来获得系统事件的可见性，例如： 流程创建 载入图片（exe / dll） 线程创建 档案建立 注册表修改 对象创建 以管理员身份输入内核内存不被视为安全边界，但是如何解决呢？ 驱动程序可以自由访问内核内存以执行其任务。存在易受攻击的驱动程序，它们允许完整的内核内存读/写操作。该程序是一个概念证明，它允许使用经过签名的易受攻击的MSI驱动程序枚举和修改其中一些内核回调。这可用于