284406022 发表于 2015-11-17 11:18:03

【求助】x64驱动 ssdt-hook需要hook两个函数

本帖最后由 284406022 于 2015-11-17 11:25 编辑

       最近刚看完x64驱动资料,知道hook ssdt 需要4GB代理跳板函数,教程里用的是KeBugCheckEx函数做跳板。
       那问题来了,我现在要hook两个ssdt表里的函数,除了KeBugCheckEx函数做跳板外,我应该再用哪个“不常用的函数”呢?刚学驱动,不知道“不常用的函数”都有哪些,希望大神们能列出一两个来,最好列出的函数地址越容易得到越好,由衷感谢了~!

Tesla.Angela 发表于 2015-11-18 08:20:05

用KeBugCheckEx做跳板挂钩20个函数都可以。KeBugCheckEx起码有0x100字节长。

tangptr@126.com 发表于 2015-11-19 13:09:31

虽说KeBugCheck2这个函数没有被导出,但是奇长无比,够挂钩整张SSDT了(tips:从KeBugCheckEx搜索第一个call指令就OK)

284406022 发表于 2015-11-20 10:09:41

Tesla.Angela 发表于 2015-11-18 08:20
用KeBugCheckEx做跳板挂钩20个函数都可以。KeBugCheckEx起码有0x100字节长。

明白你的意思了,呵呵

284406022 发表于 2015-11-20 10:12:42

tangptr@126.com 发表于 2015-11-19 13:09
虽说KeBugCheck2这个函数没有被导出,但是奇长无比,够挂钩整张SSDT了(tips:从KeBugCheckEx搜索第一个call ...

我用ida 查看了ntos导出,发现KeBugCheck函数,于是用KeBugCheck和KeBugCheckEx当跳板了,2楼的意见非常好,也说明自己太死板了,以后注意到这点了

sqdwr 发表于 2017-12-22 10:05:57

话说除了中转函数还有什么方法能HOOK 64位的SSDT么?

YOUBADBAD 发表于 2018-6-27 13:04:15

sqdwr 发表于 2017-12-22 10:05
话说除了中转函数还有什么方法能HOOK 64位的SSDT么?

inline
页: [1]
查看完整版本: 【求助】x64驱动 ssdt-hook需要hook两个函数