我正在使用Windows 7 x64。我知道已启用patchguard,并且应阻止对ntoskrnl.exe中的SSDT结构进行写访问。但是出于学习目的,我想知道我的驱动程序是否可以直接调用像ZwXxxx这样的函数。
直接我的意思是,获取内核库。让我们说函数的偏移量是0xDeadBeef。我可以创建一个指向该位置的typedef'd函数指针并像这样调用它吗?没有经过SSDT?我知道这就是我在用户模式下的方式,不确定它是否在内核模式下是相同的情况。
感谢。
答案 0 :(得分:0)
正如您所说,patchguard会阻止SSDT修改。所以,阅读还可以。如果你有一个功能地址,你可以调用它。如何设置获取功能地址没有区别:从SSDT,签名,硬编码值或其他。