如题,win8.1 UPDATE3引入的CFG,win10 1607预览版引入的DynamicRelocations,1703预览版引入的RFG,1903正式版引入的retpoline,以及还没完全推广的XFG(魔改版CFG),这些通通能在内核模块完成修复导入表重定位等工作后动态patch模块的代码段。PCHunter的作者自从Win10出来后扫内核的功能基本没有考虑这些动态patch,仍然是简单的把内存映像和硬盘文件比较,就拿最新版1.57来说,扫描1903的内核钩子多达20万个,结果一看大部分都是微软放飞自我的retpoline
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
hzqst 在boot阶段记录ntos的完整dump,后面直接对比dump就好了
就是说需要boot load? 哪个阶段是正好卡在动态patch之后的?
hhkqqs hzqst 在boot阶段记录ntos的完整dump,后面直接对比dump就好了 就是说需要boot load? 哪个阶段是 ...
hzqst 加载boot类型驱动的阶段ntos已经patch完了