在 win10 中,该成员在 _eprocess 结构中的偏移如下:
dt _eprocess: ... ... +0x6ca Protection : _PS_PROTECTION ... ...
将这个成员修改为 0x72 (参考 System 进程的值) ,就可以让一个普通的进程(如 NotePad)变成受保护状态,在 Pchunter 里看到的就是 应用层访问拒绝 。
0x72