我读了一点,发现在Windows 7 x64系统中使用驱动程序的SSDT挂钩更难,这是故意的,因为在x32系统中使用补丁保护/驱动程序签名,而这并没有发生。
那么,x64系统还有其他选择吗?我的意思是,我还有其他方法可以达到同样的结果吗?(全局挂钩一个ntdll-api)
您可以使用DLL注入方法实现用户模式挂钩,因为这在x86和x64上都有效。如果你想使钩子全局化,你需要将DLL注入每个进程,包括新创建的进程。
x64中不允许使用SSDT。文件系统或迷你过滤器驱动程序是改变任何默认系统行为的一种方式。你想实现什么?
这取决于你的目标是什么。如果你需要防止对进程或线程的恶意操作,你可以使用NotifyRoutine或ObRegisterCallbacks。或者您可以使用微筛选器监视文件操作。