[保护&过保护] _EPROCESS 的 Protection 成员

在 win10 中，该成员在 _eprocess 结构中的偏移如下：

dt _eprocess:
...
...
+0x6ca Protection       : _PS_PROTECTION
...
...

将这个成员修改为 0x72 （参考 System 进程的值） ，就可以让一个普通的进程（如 NotePad）变成受保护状态，在 Pchunter 里看到的就是 应用层访问拒绝 。