首先确认当前驱动是使用的dtracker还是dhook，然后按照下面的步骤操作。如果是使用的dtracker，需要确认当前主机可以重启，如果不能重启则需要替换dhook
确认当前驱动的方法，查看注册表，need_reboot 0表示使用的dtracker，1表示使用的dhook


【替换dtracker】
1.替换C:\Windows\System32\drivers目录下的dtracker.sys，替换文件见帖子上面的附件。替换前最好备份一下C:\Windows\System32\drivers目录下的dtracker.sys
2.重启主机

【替换dhook】
1、注册表need_reboot修改为1。如果当前就是1跳过该步骤。
2、停止dhook
在cmd上操作：先查询dhook的状态（sc query dhook）,如果dhook已经是停止状态跳过步骤2和3；然后停止dhook(sc stop dhook)

2、确认dhook停止成功

3、替换C:\Program Files (x86)\info2soft\node\bin目录下的dhook.sys，替换文件见帖子上面的附件。替换前最好先备份一下C:\Program Files (x86)\info2soft\node\bin目录下的dhook.sys
4、重启节点服务
5、重新运行规则
PS：替换dhook.sys后，如果c盘目录下没有dhook.log文件，说明替换没有生效。请再次执行步骤2和3，确认操作中没有报错，dhook成功停止