Q

防rootkit SSDT

2011-09-13 49 views 0 likes

0

我正在使用Windows 7 x64。我知道啓用了patchguard，應該防止對ntoskrnl.exe中的SSDT結構進行寫入訪問。但是出於學習目的，我想知道我的驅動程序是否可以直接調用像ZwXxxx這樣的函數。防rootkit SSDT

通過直接我的意思是，獲得內核基地。可以說這個函數的偏移量是0xDeadBeef。我可以只創建一個typedef'd函數指針到那個位置並且像這樣調用它？沒有通過SSDT？我知道這是我將如何在用戶模式，不知道它是否在內核模式下的相同情況。

謝謝。

2011-09-13 Lynn

A

回答

0

正如你所說的，patchguard可以防止SSDT修改。所以，閱讀是可以的。如果你有一個功能地址，你可以調用它。你是如何設法獲得函數地址的：從SSDT，通過簽名，硬編碼值或其他。

2011-09-14 08:59:37

相關問題

1. 識別Android rootkit
2. 檢測並刪除Rootkit
3. 如何解開SSDT鉤子並使它們被蓋住？
4. Windows驅動程序/ Rootkit開發 - 函數指針 - STATUS_INVALID_PARAMETER
5. SSDT參數
6. 鉤ZwTerminateProcess（無SSDT）
7. SqlPackage安靜輸出SSDT
8. SSDT下載指導
9. SSDT構建錯誤
10. SSDT交易發佈？