每当调用ZwDeviceIoControlFile时,我都需要更改输出缓冲区。启用补丁保护时,是否可以从 Windows 10 x64 中的内核模式驱动程序中挂接ZwDeviceIoControlFile?如果没有,我可以使用 ObRegister 回调来更改其输出缓冲区吗?
想知道在启用PG时,是否有人在Windows x64上成功过。
我最终编写了一个虚拟机管理程序,并在 PG 对区域执行读取操作时使用 EPT 隐藏实际的钩子。我能够完全挂钩内核 API,而不会让 PG 注意到 Win 10 x64。