windows主动防御多种实现思路

思路1 堵进程方式 就是不管什么先给你挂起来 然后再交给用户是否放行
思路2 事件方式 用户投俩个事件下去 然后用户开个线程 等待驱动去设置那个事件
驱动同样开线程等待用户去设置另外一个事件
https://blog.csdn.net/sonsie007/article/details/38356961
https://www.write-bug.com/article/1550.html
思路 1 2案例:
https://github.com/haidragon/InitiativeDefense
思路3 堵irp方式 附加驱动 先返回一个挂起状态 保存到一个链表里 后面再调用IoCompleteRequest 参数取决于用户是否放行 
思路3案例

【windows主动防御多种实现思路】转载于:https://blog.51cto.com/haidragon/2357972

    推荐阅读