我读了一点,发现在 Windows 7 x64 系统中使用驱动程序的 SSDT 挂钩更难,这是故意的,因为在 x32 系统中不会发生补丁保护/驱动程序签名。
那么,x64 系统还有其他替代方案吗?我的意思是,还有其他方法可以达到相同的结果吗?(全局挂钩一个ntdll api)
问问题
4685 次
您可以使用DLL 注入方法实现用户模式挂钩,因为这适用于 x86 和 x64。如果你想让钩子成为全局的,你需要将 DLL 注入到每个进程中,包括新创建的进程。
x64 中不允许使用 SSDT。文件系统或微型过滤器驱动程序是一种更改任何默认系统行为的方法。你想达到什么目标?