从未接触过驱动开发
现在是想自己实现一个驱动,来对 NtOpenProcess 这些 API 进行 Hook,从而进行防病毒之类的操作
目前了解到的 Hook 模式有SSDT Hook和InfinityHook
有以下问题:
- 根据了解,Windows 在 8 开始加入了
PatchGuard来阻止 SSDT 的 Hook,也就是说目前无法进行 SSDT Hook 了? - 根据了解,SSDTHook 的替代方案 InfinityHook 只能 Hook R3 的 API 而不能 Hook R0 的,这个说法是真的吗?如果是真的,那有什么办法进行 R0API 的 Hook 呢?
- 以及,有没有一些案例让我等小白能理解两种 Hook 从而开发自己的 Hook
恳请 dalao 们不吝赐教
PS:
- 使用系统是 Win10
- 会 Python 开发,会一点 C++开发,但是没有深入去研究过 Windows 底层
Select Language