环境:
- 视窗 8.1 (x64)
- 视觉工作室
- 数据库
在驱动程序启动时,我需要更改 bthport.sys 的单个字节以更改它的运行时行为,我能够找到要更新的确切位置,不幸的是,在更新指令时,我得到 GeneralProtection faliure,设置CR0 寄存器的 WP 标志没有帮助。
如何以编程方式控制内核模式驱动程序中的页面保护?
问问题
205 次
2 回答
1
您可以尝试在不更改页面保护的情况下修改代码。这取决于您需要更改此字节的位置。对于某些驱动程序,IRP Major 和 IRP Minor 回调保存在 .DATA 部分中。如果代码在此回调中,您可以用您自己的代码替换它们(注意它们使用的全局代码)。
于 2014-10-27T09:04:45.697 回答
0
检查“Windows 8 内核内存保护绕过”:https ://labs.mwrinfosecurity.com/blog/2014/08/15/windows-8-kernel-memory-protections-bypass/
于 2014-10-26T12:43:14.757 回答