[原创总结]WIN64上不触犯PatchGuard的HOOK
1.修改非关键驱动的内存空间。据网络资料和本人测试,PatchGuard只保护了寥寥几个驱动:NTOSKRNL.EXE、HAL.DLL、CI.DLL、KDCOM.DLL、NDIS.SYS,其它的驱动并未保护。举个例子,在WIN64上对文件系统驱动、磁盘类驱动乃至磁盘小端口驱动进行IRP HOOK,都是合法的。2.RING3的API HOOK和内存空间PATCH。
微软对PATCHGUARD技术的简介和问答:
Patching Policy for x64-Based Systems
Kernel Patch Protection: Frequently Asked Questions
温馨提示:看不懂英语就用谷歌翻译看大概意思。 {:soso_e118:}不玩64
页:
[1]