Win10 下 hook Shadow SSDT 是否已经没有可能了?
最近关注了一下Win10 下 关于 hook 的介绍,基本没有关于 Shadow SSDT的,个别的也大多在NTDLL这一层,而没有在内核层。直接在WinDbg 下Dump所有Shadow SSDT服务地址,注意到Win10下(包括32位系统)所有Shadow SSDT服务win32k!Ntxxx调用都通过FF 25 xx xx xx xx JMP 直接跳转到相应的win32k!_jmp__Ntxxx。这是否意味着Win10加强了对hook的防护,hook Shadow SSDT 已经没有可能了? 除了PG干扰,肯定是可以HOOK的。[原创科普]WIN10系统WIN32K系列驱动的一些变化
不过从商业软件的角度来说, 除去PG干扰,近乎于废止WIN10对用户的一些保护,用户很难接受这样的解决方案。如果能有一个折中的办法就好了。
页:
[1]