关于对抗获取SSDT地址的一点想法

分析某样本的时候我发现此样本中某函数是通过重定位表获取SSDT表RVA的，其中某段代码会检测ntkrnlpa.exe  IMAGE_FILE_HEADER中的chracteristic是否有relocation stripped属性，如果有则直接返回。据此，我们是否可以把ntkrnlpa.exe添加上relocation stripped属性，添加上这个属性的话，该文件的checksum值肯定会变化，还得刷新下checksum值。然后注册一个关机回调，等到关机的时候再把ntkrnlpa.exe的relocation stripped属性去掉，把原来的checksum值写入。