|
|
楼主 |
发表于 2012-2-24 11:00:50
|
显示全部楼层
我也是边看书边说的,就是因为现在看书看的有点累。发出来然后大家讨论下,说不定会有好的方法呢
我看的书是《bypassing patchguard on windows x64》
我每次说的不多啊,抱歉啊因为是英文的。我理解上肯定会有偏差的。如果发现有错误的请一定给我指出,谢谢!
- pg保护的核心内容有:
- SSDT
- GDT
- IDT
- System images(ntoskrnl.exe,ndis.sys,hal.dll)
- Processor MSRs(syscall)
- pg实施是采用设置例程的方式实现的。大概5到10分钟的时候会使用校验和的方式来去校验。pg的实现采用的是轮询的方式这样会比事件驱动或是硬件方式的好。
- pg使用错误的地址,错误的函数的名称,代码混淆等来做安全方面的保护。
- pg代码的初始化在系统启动之前,是作为nt!KeInitSystem的一部分。
- KiSystemStartup
- |
- KiInitializeKernel
- |
- ExplnitializeExecutive
- |
- KeInitSystem
- |
- KiDivide6432
- 就这些吧,我继续看了....有错误指出啊!!!!
|
|
发表于 2012-2-23 17:56:14
发表于 2012-2-24 12:44:10
