问一点关于 Hook 的问题

2020-05-15 18:15:05 +08:00
 pppwaw

从未接触过驱动开发

现在是想自己实现一个驱动,来对 NtOpenProcess 这些 API 进行 Hook,从而进行防病毒之类的操作

目前了解到的 Hook 模式有SSDT HookInfinityHook

有以下问题:

恳请 dalao 们不吝赐教

PS:

1834 次点击
所在节点    程序员
2 条回复
fakevam
2020-05-15 22:17:35 +08:00
win7 x64 就有 patch guard 了,绕过 PG 的方案有很多,但是出一个死一个
一定要做内核防护的话,内核提供了很多 callback,可以驱动注入去做 callback 检测,但是点比较少,比如 object callback

另外,还有一条万能的路,走虚拟化,在 host 上 hook vm,参考 360 他们的做法

当然,你可以把 PG 关掉,这个方案搜一把就一大堆了
pppwaw
2020-05-16 08:30:14 +08:00
@fakevam emmm dalao 能给份相关的资料么,不强求绕过 PG

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/672138

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX