我正在做一个全局成功挂钩API调用的实验,我在某处读到了SDT(服务描述符表)和内核模式驱动程序。
这种挂钩是否适用于驻留在user32.dll等中的调用?
答案 0 :(得分:2)
这将挂钩所有需要运行内核模式的东西(I / O,FileSystem,进程/线程,内核对象)。
虽然它们非常不稳定,但不应该使用。您只能在x86系统版本上执行SDT挂钩,因为在x64上,ntoskrnl不会导出KeServiceDescriptorTable符号,而PatchGuard将在错误检查BSOD中完成您的系统。
有许多方法可以绕过KPP,但我不建议你继续这样做。