扩充_ETHREAD结构

在某些场景下，我想要系统的某些结构跟我自己的数据进行绑定。如map。但是在某些情况下map+lock并不适用。我希望扩充系统的这些结构，在分配这些结构体的时候多分配一部分出来来达到绑定的目的。翻阅一下wrk，找到相关的地方：ETHREAD：EPROCESS：可以看到调用ObCreateObject传入对应的结构体大小，即分配了对应的内存。但是在WIN10下，这个地方有少许改变,win10下仍然有ObCreateObject，但是成了ObCreateObjectEx的封装，系统分配结构体的地方也变成了：可以看到ObCreateObjectEx比 ObCreateObject在后面多了一个参数：多的这个参数，是在 ObCreateObjectEx调用ObpAllocateObject所使用回到前面，我们HOOK ObCreateObjectEx 判断ObjectType，来修改ObjectBodySize来达到扩充的目的。先定义需要扩充的结构和 ………………………………