TX某游戏的启动器里面hook CreateProcessW能勾到，并且可以附带着注入进cross****.exe。然后cross****.exe会再启动一次它自己，第二次启动的才是真正的游戏。

现在问题来了：

在WIN10 X64下勾第一个cross****.exe的CreateProcessW，能勾到启动第二个cross****.exe，并且也可以成功注入。
但是某些WIN7 X64下勾第一个cross****.exe的CreateProcessW，毛都勾不到。（注意是某些，在网吧实测的时候有的网吧能注入、有的网吧不能）
两个系统下勾ntdll!NtCreateUserProcess都可以正常勾到，但是WIN7X64注入失败；WIN10X64成功。深究下去发现是SetThreadContext无效（返回成功但无效果）。XT看SetThreadContext、NtSetContextThread无钩子

从内部打印调用堆栈（两个系统的结果一样）：
c********Base.dll+0xF583
c********Base.dll+0x7BDEBD
c********Base.dll+0x8B4040
c********.exe+0x3C2A27
ntdll.dll+0x65DE3, 772B5DE3
ntdll.dll+0x65DAE, 772B5DAE

我的CreateProcessW取的是GetProcAddress(LoadLibrary(L"kernel32"), "CreateProcessW");

目前怀疑是不是由于系统的IAT HOOK导致取到“假”的CreateProcessW了？

[培训]科锐逆向工程师培训第53期2025年7月8日开班！