小贝子编程

SDT 内核模式挂钩



我正在做一个实验,以成功地全局挂钩 API 调用,我在某处阅读了有关 SDT(服务描述符表)和内核模式驱动程序的信息。

这种钩子是否适用于驻留在 user32 中的调用.dll 等?

这将钩住需要进入内核模式才能运行的所有内容(I/O、文件系统、进程/线程、内核对象)。

虽然它们非常不稳定,不应该使用。您只能在x86系统版本上进行SDT挂钩,因为在x64上,ntoskrnl不会导出KeServiceDescriptorTable符号,并且PatchGuard将在错误检查BSOD中完成您的系统。

有很多方法可以绕过KPP,但我不建议您继续这样做。

相关内容

最新更新


热门标签:

javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium