【求助】x64驱动 ssdt-hook需要hook两个函数

284406022 · 发表于 2015-11-17 11:18:03

本帖最后由 284406022 于 2015-11-17 11:25 编辑

最近刚看完x64驱动资料，知道hook ssdt 需要4GB代理跳板函数，教程里用的是KeBugCheckEx函数做跳板。
那问题来了，我现在要hook两个ssdt表里的函数，除了KeBugCheckEx函数做跳板外，我应该再用哪个“不常用的函数”呢？刚学驱动，不知道“不常用的函数”都有哪些，希望大神们能列出一两个来，最好列出的函数地址越容易得到越好，由衷感谢了~！

Tesla.Angela · 发表于 2015-11-18 08:20:05

用KeBugCheckEx做跳板挂钩20个函数都可以。KeBugCheckEx起码有0x100字节长。

tangptr@126.com · 发表于 2015-11-19 13:09:31

虽说KeBugCheck2这个函数没有被导出，但是奇长无比，够挂钩整张SSDT了（tips:从KeBugCheckEx搜索第一个call指令就OK）

284406022 · 发表于 2015-11-20 10:09:41

Tesla.Angela 发表于 2015-11-18 08:20
用KeBugCheckEx做跳板挂钩20个函数都可以。KeBugCheckEx起码有0x100字节长。

明白你的意思了，呵呵

284406022 · 发表于 2015-11-20 10:12:42

tangptr@126.com 发表于 2015-11-19 13:09
虽说KeBugCheck2这个函数没有被导出，但是奇长无比，够挂钩整张SSDT了（tips:从KeBugCheckEx搜索第一个call ...

我用ida 查看了ntos导出，发现KeBugCheck函数，于是用KeBugCheck和KeBugCheckEx当跳板了，2楼的意见非常好，也说明自己太死板了，以后注意到这点了

sqdwr · 发表于 2017-12-22 10:05:57

话说除了中转函数还有什么方法能HOOK 64位的SSDT么？

YOUBADBAD · 发表于 2018-6-27 13:04:15

sqdwr 发表于 2017-12-22 10:05
话说除了中转函数还有什么方法能HOOK 64位的SSDT么？

inline

帐号		自动登录	找回密码
密码			加入我们