在 Win 10 x64 上启用 patchguard 来挂钩 ZwDeviceIoControlFile

问题描述 投票:0回答:2

每当调用 

ZwDeviceIoControlFile
时,我都需要更改输出缓冲区。在启用 Patchguard 的情况下,是否可以从 Windows 10 x64 中的内核模式驱动程序中挂钩 
ZwDeviceIoControlFile
?如果没有,我可以使用 ObRegister 回调来更改其输出缓冲区吗?

想知道是否有人在启用 PG 的情况下在 Windows x64 上成功实现了此操作。

windows kernel hook windows-kernel
2个回答
0
投票

我最终编写了一个虚拟机管理程序并使用 EPT 来隐藏当 PG 在该区域上执行读取操作时的实际挂钩。我能够在 Win 10 x64 上完全挂钩内核 API,而无需 PG 注意到。

0
投票

很晚了,但很想看到你的实现!

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.