失败品:尝试改进Win64 Inline Hook引擎
本来想改掉T.A的Win64引擎,主要是因为其使用了并不是很安全的修改CR0寄存器方式绕过只读保护。故我就尝试用映射MDL的方式,可是却蓝屏了,提示我的正是只读内存发生写入错误。等到了下周六,我在想办法改好。 你的代码有问题吧。话说MDL读写内核内存的代码要两套。**** Hidden Message *****此外谁教你IOCTL可以定义为0x1和0x2的:#define IOCTL_Hook CTL_CODE(FILE_DEVICE_UNKNOWN, 0x1, METHOD_BUFFERED, FILE_ANY_ACCESS)#define IOCTL_UnHook CTL_CODE(FILE_DEVICE_UNKNOWN, 0x2, METHOD_BUFFERED, FILE_ANY_ACCESS)这个代码的范围应该是0x800~0xFFF。 。。。我只能说,那套代码不用测试就知道是绕不过只读保护的。我这个代码放在Win32是没有问题的啊,通吃XP~Win10
IOCTL_CODE定义成0x1和0x2我还真没遇到过问题。。。。。。 tangptr@126.com 发表于 2015-10-8 23:58
。。。我只能说,那套代码不用测试就知道是绕不过只读保护的。我这个代码放在Win32是没有问题的啊,通吃XP~ ...
不行是不可能的,我已经这么用上了。。。还发了个帖子:http://www.m5home.com/bbs/thread-8634-1-1.html。
但实际上,用WPOFF/WPON还是用MDL修改内存,都和“安全HOOK”无关。那个是向每个核心投递DPC来HOLD住所有线程不让执行。 gfw,如果您要查看本帖隐藏内容请回复 开看看源码的,因为我觉得源码更好说明问题 话说我貌似发现蓝屏的根本原因了,下文摘自MSDN
The MmCreateMdl routine is obselete and is exported to support existing driver binaries only. Use IoAllocateMdl instead. 学习学习 学习一下 学习学习
我来向大佬学习
页:
[1]