首页
社区
课程
招聘
[旧帖] [原创]x64内核编程小窥-SSDT HOOK笔记 0.00雪花
发表于: 2014-11-15 00:46 15161

[旧帖] [原创]x64内核编程小窥-SSDT HOOK笔记 0.00雪花

2014-11-15 00:46
15161
收藏
免费 3
支持
分享
最新回复 (64)
雪    币: 85
活跃值: (51)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
26
非常不错,从宏观来解读x86和x64的一些区别,相对直接上代码的文章,能让新手快速入手~~~
2014-11-16 21:24
0
雪    币: 35
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
27
TA的教程确实非常好。
2014-11-16 23:46
0
雪    币: 11
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
28
加油
2014-11-17 22:22
0
雪    币: 228
活跃值: (130)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
29
3.64位下,每个驱动都有独立的4GB空间

这是哪个老师 哪本书教的?!!?!?

最基础的系统进程,内存知识哪去了???

4G寻址范围  ≠ 独立4G空间.
2014-11-18 16:08
1
雪    币: 45
活跃值: (423)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
30
新手,看了楼主的HOOK文章很有收获。HOOK实现上基本上是通过内核驱动方式来实现,内核驱动是操作系统受信任的组件,64位Windows由于历史包袱较少的原因,对内核驱动加入了数字签名的强制要求,想问大牛一个初级问题,这些内核驱动如何部属到目标操作系统而不会引起使用者的明显注意?
2014-11-18 16:12
0
雪    币: 253
活跃值: (21)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
31
读书心得笔记的分享还是很珍贵的,只是64位上的SSDT HOOK,由于patchguard还是不能用在真正的产品当中的。建议楼主看看正统方向的fsd hook之类的。
2014-11-18 16:56
0
雪    币: 45
活跃值: (423)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
32
差点就被误导了,亏得你来质疑。进一步的疑问,难道楼主是想说Windows x64是为每个内核驱动分配了4GB的地址空间?若这样,则48位虚拟地址情况下,内核空间总共128TB,也最多只够容纳32K,即32768个内核驱动,这还不算内核其它部分占用的空间啊。看来楼主的话还有进一步推敲的地方啊。
2014-11-18 17:13
0
雪    币: 2
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
33
我还没转正。
2014-11-18 19:18
0
雪    币: 0
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
34
VB如何使用XueTr.sys
2014-11-18 19:35
0
雪    币: 29
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
35
64位的SSDT表没导出?这个我反驳,
2014-11-18 20:13
0
雪    币: 1
活跃值: (49)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
36
贮备好好看看
2014-11-18 21:08
0
雪    币: 32
活跃值: (34)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
37
是这样的么...不好意思,我这一点我还没确定,等确定了,我再把文章改改,谢谢您哈。
顺便能不能问一问x64下驱动的内存空间是多大啊,因为目前国内研究x64驱动的资料很少啊,求大神告知...
2014-11-18 23:09
0
雪    币: 32
活跃值: (34)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
38
嗯,我就是做的笔记,很多地方看来还是需要修改的。谢谢您
2014-11-18 23:11
0
雪    币: 228
活跃值: (130)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
39
推荐你去看一本书  邓志的<<x86/x64体系探索及编程>>

然后驱动资料其实差不多,细节不考虑,其变化只不过寄存器改变,从原来的32位地址变成64位地址.
2014-11-18 23:55
0
雪    币: 32
活跃值: (34)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
40
谢谢!!
2014-11-19 00:03
0
雪    币: 346
活跃值: (25)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
41
好贴!!! 学习了!!!
2014-11-20 11:31
0
雪    币: 31
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
42
不错 顶顶顶
2014-11-20 22:30
0
雪    币: 62
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
43
mark.
2014-11-20 22:57
0
雪    币: 32
活跃值: (34)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
44
嗯,谢谢!!
2014-11-20 23:34
0
雪    币: 32
活跃值: (34)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
45
别叫我大牛....
关于这个问题,怎么说呢,对于PG和DSE,Anti它不如PASS它,因为Anti容易被检测,pass比较和谐。关于pass PG,这个方法真心不能公开,因为公开就被封了,连思路都没法共享,国外有大牛公开了三次过pg和dse的办法,发了软件,但是现在他采用的办法全被封了,之后就一直没有更新,都藏着掖着,这个也实属无奈啊。正当的做法最好购买数字签名吧。
2014-11-20 23:50
0
雪    币: 2
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
46
支持一下……
2014-11-22 10:38
0
雪    币: 14859
活跃值: (3345)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
47
顶一个。
2014-11-22 10:42
0
雪    币: 9771
活跃值: (2596)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
48
不错,写的好像很详细!
2014-11-24 23:50
0
雪    币: 0
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
49
锐英源帮顶,锐英源擅长C语言、C++、C#、ASP.NET、Linux开发和软件工程
2014-11-25 21:12
0
雪    币: 163
活跃值: (45)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
50
Mark
2014-11-29 01:58
0
游客
登录 | 注册 方可回帖
返回
//