regmon激活时,修改了一些sst服务函数地址,winliencse针对
此进行判断regmon是否激活,逐一排除发现马脚在NtFlushKey,
恢复其原有的服务函数地址就可跳过winliencse的监视!至于修改方法
应该很简单了。顺手牵羊,同时启动修改版的regmon和filemon,对winlisence
的trial及其key中的trial进行反监视,狐狸尾巴全部揭穿,很失望,太失望了!

简单说一下恢复NtFlushKey sst服务函数地址方法:
1。运行regmon,激活监视
2。 r0cmd /dumpsst_nt:sst.bin
3.启动icesword,在ssdt查看NtFlushKey原服务函数地址和修改服务函数地址
4。启动 winhex,修改sst.bin
5. r0cmd /loadsst_nt:sst.bin
6.启动winlicense,不再提示。