防rootkit SSDT
防rootkit SSDT
提问于 2011-09-14 04:40:00
我正在使用Windows7 x64。我知道patchguard是启用的,应该会阻止对ntoskrnl.exe中的SSDT结构的写访问。然而,出于学习目的,我想知道我的驱动程序是否可以直接调用像ZwXxxx这样的函数。
我的意思是直接获得内核库。假设函数的偏移量是0xDeadBeef。我是否可以创建一个指向该位置的typedef'd函数指针,并像这样调用它?而不通过SSDT?我知道这就是我在用户模式下的方式,不确定在内核模式下是否也是这样。
谢谢。
回答 1
Stack Overflow用户
发布于 2011-09-14 16:59:37
正如您所说的,patchguard可以阻止SSDT修改。所以,阅读是可以的。如果你有一个函数地址,你可以调用它。没有区别,你是如何获得函数地址的:从SSDT,通过签名,硬编码值或其他。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/7408188
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号