『讨论』PatchGuard原理
如何过掉PatchGuard? 版主很多帖子,我也跟帖留个脚印 我也是边看书边说的,就是因为现在看书看的有点累。发出来然后大家讨论下,说不定会有好的方法呢我看的书是《bypassing patchguard on windows x64》
我每次说的不多啊,抱歉啊因为是英文的。我理解上肯定会有偏差的。如果发现有错误的请一定给我指出,谢谢!
pg保护的核心内容有:
SSDT
GDT
IDT
System images(ntoskrnl.exe,ndis.sys,hal.dll)
Processor MSRs(syscall)
pg实施是采用设置例程的方式实现的。大概5到10分钟的时候会使用校验和的方式来去校验。pg的实现采用的是轮询的方式这样会比事件驱动或是硬件方式的好。
pg使用错误的地址,错误的函数的名称,代码混淆等来做安全方面的保护。
pg代码的初始化在系统启动之前,是作为nt!KeInitSystem的一部分。
KiSystemStartup
|
KiInitializeKernel
|
ExplnitializeExecutive
|
KeInitSystem
|
KiDivide6432
就这些吧,我继续看了....有错误指出啊!!!!
http://www.m5home.com/bbs/thread-6182-1-1.html 谢谢老大,我去看看先。 路过跳到一个好转址! wenh7788 发表于 2012-2-24 11:00 static/image/common/back.gif
我也是边看书边说的,就是因为现在看书看的有点累。发出来然后大家讨论下,说不定会有好的方法呢
我看的书 ...
我用windbg为神马找不到nt!KiDivide6432 版本有好多說明。 楼主找到好方法了吗
页:
[1]