每当调用ZwDeviceIoControlFile时,我都需要更改输出缓冲区。在启用Patchguard时,是否可以在Windows 10 x64中的内核模式驱动程序中挂钩ZwDeviceIoControlFile?如果没有,我可以使用ObRegister回调来改变它的输出缓冲区吗?
想知道是否有人在启用PG时在Windows x64上成功使用此功能。
答案 0 :(得分:0)
当PG对该区域进行读取操作时,我最终编写了一个Hypervisor并使用EPT隐藏了实际的挂钩。我能够完全挂钩内核API,而不需要在Win 10 x64上注意PG。