-
为什么以下hook代码在有些机器上会荡机?__declspec(dllimport) ServiceDescriptorTableEntry_t KeServiceDescriptorTable;//宏定义#define SYSTEMSERVICE(_function) KeS...全文
◆
◆
-
wowocock:一般修改CR0不会蓝,至少我从来没碰到过,无论是PD还是酷睿,都没问题。(2007-09-04 17:19)
-
devil209:谢谢wowocock ,再问一下通过cr0的hook在本机上荡机,而通过mdl却没有问题是什么原因呢?本机cpu是amd 64bit 双核cpu,我记的前段时间我在32bit的机器上运行修改cr0的hook也出现过现在这种情况.(2007-09-04 09:27)
-
wowocock:MS为了更好的实现核心保护,把SSDT放到了代码段,不过32位下可以通过CR0,或MDL来进行处理,不过随着64BIT系统的临近,及最新CPU技术的发展,以后的PTAHCGUARD保护将移至虚拟技术的VMM中,由于强大的RING -1层保护,对于所有的hook来说将会是一场噩梦...(2007-09-03 19:30)
-
devil209:在有些机器上一运行到 (ZW_OPENPROCESS)(SYSTEMSERVICE(ZwOpenProcess)) = NewZwOpenProcess; 就荡掉了,只是个别机器而已.(2007-09-03 17:08)
