紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛

 找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
查看: 8567|回复: 4

问名词:PG/过PG/KPP/DSE/过DSE/内核越狱/免签加载驱动/API(MSG)HOOK

[复制链接]

12

主题

156

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
281
发表于 2015-3-26 11:39:59 | 显示全部楼层 |阅读模式
本帖最后由 testid 于 2015-3-26 16:58 编辑

这些词语究竟是什么意思?他们之间有什么区别和联系?
虽然我大概知道,但还是比较迷糊,望给个详细解释。

还没人回复,补充一下,我最后不是问API HOOK或MSG HOOK是什么意思,而是这两种HOOK什么时候可以用,什么时候不能用,跟之前那一堆名词又有什么关系。

851

主题

3477

帖子

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

Rank: 125Rank: 125Rank: 125Rank: 125Rank: 125

积分
37093
发表于 2015-3-26 19:34:22 | 显示全部楼层
这个问题算是很经典的初学者问题了。。。为了以后省点口舌,这里仔细回复一下。

KPP:内核补丁保护,详见http://en.wikipedia.org/wiki/Kernel_Patch_Protection
PG:基本可以认为和KPP是一个意思。
过PG:让PG无法工作,或工作无效。方法基本分为两类,动态(无需重启,重启后失效)和静态(需要重启,重启后一直生效)。

DSE:数字签名强制。全名driver signature enforcement,可以简单理解为“驱动文件必须包含正确的交叉签名”。
过DSE:让DSE机制无法工作,或工作无效。方法基本分为两类,动态(无需重启,重启后失效)和静态(需要重启,重启后一直生效)。
免签加载驱动:就是加载一个无签名,或签名无效的驱动。

内核越狱:可以简单理解为{过PG+过DSE}。

关于HOOK:MESSAGE HOOK是RING3的HOOK,所有RING3的HOOK(包括RING3 IAT/EAT/INLINE HOOK)都不被PG限制。RING0里对关键模块(包括但不限于NTOSKRNL.EXE、HAL.DLL、NDIS.SYS等)以及一些关键的表(包括但不限于SSDT、IDT、PsActiveProcessLinks等)的任何修改,都不被PG所允许。

8

主题

77

帖子

2

精华

钻石会员

Rank: 6Rank: 6

积分
3279
发表于 2015-3-27 12:11:13 | 显示全部楼层
学习了

9

主题

37

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
86
发表于 2015-4-29 01:22:11 | 显示全部楼层
学习了

2

主题

167

帖子

0

精华

金牌会员

Rank: 4Rank: 4Rank: 4Rank: 4

积分
944
发表于 2015-5-2 12:57:21 | 显示全部楼层
学习了,基本的专业名词
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

手机版|Archiver|紫水晶工作室 ( 粤ICP备05020336号 )

GMT+8, 2024-3-29 15:10 , Processed in 0.024299 second(s), 19 queries , Gzip On.

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表