-
-
[求助]请教一下,64位系统下实现实时监控的问题~~~
-
发表于:
2010-1-31 10:57
5556
-
[求助]请教一下,64位系统下实现实时监控的问题~~~
我看到《64 位 Microsoft Windows 驱动程序清单》
http://www.microsoft.com/china/whdc/driver/kernel/64bit_chklist.mspx
里面写着
要与基于 x64 的 Windows 操作系统兼容,驱动程序必须避免以下实践:
• 修改系统服务表,例如与KeServiceDescriptorTable挂钩。
• 修改中断调度表 (IDT)。
• 修改全局描述符表 (GDT)。
• 使用不是由内核分配的内核堆栈。
• 修补内核的任何部分(仅限基于 AMD64 的系统)。
Windows 在 x64 平台上强制执行这些规则。任何这种修改都会导致错误检测。
首先问一下,
这是否意味着64位系统下已经无法SSDT/SSDT Shadow HOOK了?
不知道还可以inline hook吗?
而且64位系统下驱动时必须要认证签名的吧?
所以想请教一下在64位系统下实现实时监控的是否
只能在ring3层windows API hook来进行监控了?
另外, 如何在不使用驱动设置PsSetCreateProcessNotifyRoutine的情况下在用户层如何跟踪所有进程的创建呢?
完全是新手个人的理解,希望能够得到各位大牛的指
点,谢谢~~~
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
