|
|
发表于 2015-3-26 19:34:22
|
显示全部楼层
这个问题算是很经典的初学者问题了。。。为了以后省点口舌,这里仔细回复一下。
KPP:内核补丁保护,详见http://en.wikipedia.org/wiki/Kernel_Patch_Protection
PG:基本可以认为和KPP是一个意思。
过PG:让PG无法工作,或工作无效。方法基本分为两类,动态(无需重启,重启后失效)和静态(需要重启,重启后一直生效)。
DSE:数字签名强制。全名driver signature enforcement,可以简单理解为“驱动文件必须包含正确的交叉签名”。
过DSE:让DSE机制无法工作,或工作无效。方法基本分为两类,动态(无需重启,重启后失效)和静态(需要重启,重启后一直生效)。
免签加载驱动:就是加载一个无签名,或签名无效的驱动。
内核越狱:可以简单理解为{过PG+过DSE}。
关于HOOK:MESSAGE HOOK是RING3的HOOK,所有RING3的HOOK(包括RING3 IAT/EAT/INLINE HOOK)都不被PG限制。RING0里对关键模块(包括但不限于NTOSKRNL.EXE、HAL.DLL、NDIS.SYS等)以及一些关键的表(包括但不限于SSDT、IDT、PsActiveProcessLinks等)的任何修改,都不被PG所允许。 |
|
发表于 2015-3-26 11:39:59
