Win10 下 hook Shadow SSDT 是否已经没有可能了？

LopezBistro

最近关注了一下Win10 下 关于 hook 的介绍，基本没有关于 Shadow SSDT的，个别的也大多在NTDLL这一层，而没有在内核层。直接在WinDbg 下Dump所有Shadow SSDT服务地址，注意到Win10下（包括32位系统）所有Shadow SSDT服务win32k!Ntxxx调用都通过FF 25 xx xx xx xx JMP 直接跳转到相应的win32k!_jmp__Ntxxx。这是否意味着Win10加强了对hook的防护，hook Shadow SSDT 已经没有可能了？

Tesla.Angela

除了PG干扰，肯定是可以HOOK的。
[原创科普]WIN10系统WIN32K系列驱动的一些变化

LopezBistro

不过从商业软件的角度来说， 除去PG干扰，近乎于废止WIN10对用户的一些保护，用户很难接受这样的解决方案。如果能有一个折中的办法就好了。