안티 루트킷 SSDT

Question

Windows 7 x64에서 작업하고 있습니다. 패치 가드가 활성화되어 있고 ntoskrnl.exe의 SSDT 구조에 대한 쓰기 액세스를 차단해야한다는 것을 알고 있습니다. 그러나 학습 목적을 위해 내 드라이버가 ZwXxxx와 같은 기능을 직접 호출 할 수 있는지 궁금합니다.

직접 커널베이스를 구하십시오. 함수에 대한 오프셋이 0xDeadBeef라고합니다. 그냥 그 위치에 typedef'd 함수 포인터를 만들고 그것을 그렇게 부를 수 있을까요? SSDT를 거치지 않고? 나는 이것이 커널 모드에서 동일한 경우인지 사용자 모드인지 알 수 없다.

감사합니다.

Answer 1

당신이 말한대로, patchguard는 SSDT 수정을 방지합니다. 그래서, 독서는 괜찮습니다. 기능 주소가있는 경우 전화 할 수 있습니다. 함수 주소를 얻는 방법은 SSDT에서 서명, 하드 코딩 된 값 또는 다른 방법으로 어떻게 처리했는지에 차이가 없습니다.