能力值:
( LV9,RANK:280 )
|
-
-
2 楼
ring3 kernel32!OpenProcess->ntdll!NtOpenProcess->ring0 nt!KiSystemCall64(nt!KiFastCallEntry)->nt!NtOpenProcess->nt!PsOpenProcess->nt!PspOpenProcess->nt!ObOpenObjectByPointer...
你要hook的话,自己玩玩儿可以,做商业软件就不能随便hook 64位系统内核了,否则等着接受微软制裁吧
|
能力值:
( LV4,RANK:50 )
|
-
-
3 楼
OpenProcess 是ring3 用户层的程序,@轩辕之风 说的对 ,SSDT直接派发给Nt系函数NtOpenProcess ,做驱动开发的时候,微软建议内核开发者使用Zw系列的函数,因为这些函数多了一些参数检查的代码,zwOpenProcess 底层还是调用NtCreateProcess. 你要是会用windbg的话,可以用那个差看一下。若是你写驱动的话,32位驱动不需要签名也能跑,64位的必须要签名,微软可以授权签名(费用很高),或者用第三方签名试试。
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
谢谢两位,我明白了
|
能力值:
( LV8,RANK:130 )
|
-
-
5 楼
进入内核后,SSDT直接派发给Nt系函数,不走Zw。Zw是提供给驱动开发使用的
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
在哪里得到这些调用链? 
|
能力值:
( LV9,RANK:280 )
|
-
-
7 楼
windbg不用谢我
|
|
|
