Question

Я работаю с Windows 7 x64.Я понимаю, что patchguard включен и должен препятствовать доступу записи к структуре SSDT в ntoskrnl.exe.Однако в учебных целях мне было интересно, может ли мой драйвер напрямую вызывать такую функцию, как ZwXxxx.

Под прямым, я имею в виду, получить базу ядра.Допустим, смещение функции равно 0xDeadBeef.Могу ли я просто создать указатель функции typedef на это место и вызвать его так?Не пройдя через SSDT?Я знаю, что так было бы в пользовательском режиме, но я не уверен, что в режиме ядра это так же.

Sergey Podobry · Answer 1 · 14 сентября 2011

Как вы сказали, patchguard предотвращает модификацию SSDT.Итак, чтение в порядке.И если у вас есть адрес функции, вы можете вызвать его.Нет разницы, как вам удалось получить адрес функции: из SSDT, по подписи, жестко заданному значению или иначе.

Анти руткит SSDT

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Анти руткит SSDT

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы