Windows 7 抗rootkit-SSDT
我正在使用Windows7x64。据我所知,patchguard已启用,应防止对ntoskrnl.exe中的SSDT结构进行写访问。但是出于学习目的,我想知道我的驱动程序是否可以直接调用ZwXxxx这样的函数 我的意思是直接获取内核库。假设函数的偏移量为0xDeadBeef。我可以创建一个指向该位置的typedef函数指针并这样调用它吗?没有通过SSDT?我知道在用户模式下会是这样,但不确定在内核模式下是否也是这样Windows 7 抗rootkit-SSDT,windows-7,driver,Windows 7,Driver,我正在使用Windows7x64。据我所知,patchguard已启用,应防止对ntoskrnl.exe中的SSDT结构进行写访问。但是出于学习目的,我想知道我的驱动程序是否可以直接调用ZwXxxx这样的函数 我的意思是直接获取内核库。假设函数的偏移量为0xDeadBeef。我可以创建一个指向该位置的typedef函数指针并这样调用它吗?没有通过SSDT?我知道在用户模式下会是这样,但不确定在内核模式下是否也是这样 谢谢。正如您所说,patchguard可防止SSDT修改。所以,阅读是可以的。如
谢谢。正如您所说,patchguard可防止SSDT修改。所以,阅读是可以的。如果你有一个函数地址,你可以调用它。您是如何获得函数地址的:从SSDT、通过签名、硬编码值或其他方式,没有区别