windbg几个很挫的地方~~ (1),例如我的驱动通常会叫360xxx，比如360safexxx.sys 那么u 360safexx!xxxxx(function name)，那么会告诉我不存在0x360safe!xxx这个提示 -_-!! (2)..process 过去后，PEB，看不了, .process /P,PEB能看了，进程内存看不了, .context pagedir，就能看了。。。可WINDBG手册上明明说这两个是一样的。。

噢 忘了，ntfs在filesystem目录下~ 参考王宇

需要加上对象路径 !drvobj \Driver\Ntfs

简单来说，页被换出后，再访问则触发int 0xe缺页中断 系统会进入KiTrap0e,即系统默认的缺页中断处理例程 KiTrap0e会调用 MmAccessFault函数 该函数进行复杂的判断后发现是换出的页面后，调用函数MiDispatchFault来试图完成页面的访问 该函数再进行一系列复杂的判断后 通过Cc系统函数从文件系统缓存中读入数据 或者通过系统函数IoPageRead从pagefile或页面映射的section对应的文件中读入页面数据，最终实现页面的换入

不再透露驱动防御发布策略

对最新版的无效 感染文件用专杀大全可修复

1.防御了，目前的版本过了 2.忘了，这个是在未发布版本里改进的~下个beta版既有此项保护了 3.xiaojinglf这类脑残不用理会，删除run项只能重启生效，这也叫过360？

1.可以和谐但没有必要，如果有病毒使用这个驱动或类似技术，很快就会被XX，这就是为什么目前基本没有驱动级动360的原因,自我保护比guardfield更强大 2.请使用最新的5.0版本 3.这种人可以无视 4.不是被和谐 5.食堂中午有稻香村

1,2,5,6 :ARK工具使用驱动来结束进程和删除文件，对这种做防御没有任何意义 3.请尝试最新版本360 4.这个对360无效,另外，没BIN没真相

装上360 就不怕BEEP病毒了~