我读了一下,我发现在Windows 7 x64系统中使用驱动程序的SSDT挂钩更加困难,因为在x32系统中没有发生Patch Guard / Driver Signing。
那么,x64系统还有其他替代方案吗?我的意思是,还有其他方法可以达到相同的效果吗? (global hook a ntdll api)
答案 0 :(得分:2)
您可以使用DLL Injection方法实现用户模式挂钩,因为这适用于x86和x64。如果你想使钩子全局化,你需要将DLL注入每个进程,包括新创建的进程。
答案 1 :(得分:0)
x64中不允许使用SSDT。 文件系统或小型过滤器驱动程序是一种更改任何默认系统行为的方法。 你想要达到什么目标?