设为首页
收藏本站
切换到窄版
账号
自动登录
找回密码
密码
登录
加入我们
只需一步,快速开始
快捷导航
网站首页
老马博客
迦南天空
阿杰软件
电脑散热
会员动态
Space
论坛广场
BBS
新人必读
亮叔杂谈
天猫店铺
京东店铺
免费实用软件下载
内核编程技术展示
搜索
搜索
本版
帖子
用户
紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛
»
论坛广场
›
置顶区
›
WINDOWS核心编程
›
[原创总结]WIN64上不触犯PatchGuard的HOOK
返回列表
发新帖
查看:
5842
|
回复:
2
[原创总结]WIN64上不触犯PatchGuard的HOOK
[复制链接]
Tesla.Angela
Tesla.Angela
当前离线
积分
36130
857
主题
2632
回帖
2
精华
管理员
此生无悔入华夏, 长居日耳曼尼亚。
积分
36130
收听TA
发消息
发表于 2013-12-18 23:03:44
|
显示全部楼层
|
阅读模式
1.
修改非关键驱动的内存空间
。据网络资料和本人测试,PatchGuard只保护了寥寥几个驱动:NTOSKRNL.EXE、HAL.DLL、CI.DLL、KDCOM.DLL、NDIS.SYS,其它的驱动并未保护。举个例子,在WIN64上对文件系统驱动、磁盘类驱动乃至磁盘小端口驱动进行IRP HOOK,都是
合法
的。
2.
RING3的API HOOK和内存空间PATCH。
微软对PATCHGUARD技术的简介和问答:
Patching Policy for x64-Based Systems
Kernel Patch Protection: Frequently Asked Questions
温馨提示:看不懂英语就用谷歌翻译看大概意思。
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复
举报
testid
testid
当前离线
积分
281
12
主题
144
回帖
0
精华
铜牌会员
铜牌会员
, 积分 281, 距离下一级还需 39 积分
铜牌会员
, 积分 281, 距离下一级还需 39 积分
积分
281
收听TA
发消息
发表于 2014-1-5 18:03:38
|
显示全部楼层
{:soso_e118:}不玩64
回复
举报
wangmin1944
wangmin1944
当前离线
积分
19658
头像被屏蔽
4
主题
101
回帖
0
精华
初来乍到
初来乍到
, 积分 19658, 距离下一级还需 -19626 积分
初来乍到
, 积分 19658, 距离下一级还需 -19626 积分
积分
19658
收听TA
发消息
发表于 2014-1-15 10:13:13
|
显示全部楼层
提示:
作者被禁止或删除 内容自动屏蔽
回复
举报
返回列表
发新帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
加入我们
本版积分规则
发表回复
回帖并转播
回帖后跳转到最后一页
快速回复
返回顶部
返回列表
发表于 2013-12-18 23:03:44
发表于 2014-1-5 18:03:38