首页
社区
课程
招聘
[讨论]内核函数挂钩技术该如何应对Vista的Patch Guard呢?
发表于: 2009-1-9 00:43 7182

[讨论]内核函数挂钩技术该如何应对Vista的Patch Guard呢?

2009-1-9 00:43
7182
从Vista开始,微软在操作系统内核中加入了Patch Guard来防止内核被更改,这使得现有的内核挂钩技术在Vista下失效。关于此点,挂钩技术开发和应用的人有没有相应的策略啊!

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (8)
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
2
关注此问题!我上次的一个Inline IopCreateFile程序在Vista下也很正常啊,不了解…
2009-1-9 08:14
0
雪    币: 354
活跃值: (10)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
3
谁说失效?

照样HOOK。。。
2009-1-9 10:19
0
雪    币: 264
活跃值: (140)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
[QUOTE=;]...[/QUOTE]
牛牛们继续讨论,搬张板凳听课
2009-1-9 10:51
0
雪    币: 80
活跃值: (14)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
5
对了,我差点忘了,PatchGuard的能力是从64位的操作系统平台上才开始引入的。而且,PatchGuard当中防止inline hook对内核的更改这一块,还非得在AMD64的CPU平台上才可以被检测出来。不过毕竟是一道关卡啊!到底怎么过呢?

毕竟64位的操作系统用的人会越来越多了,这是以后必须要面对的问题!而64位的CPU,到底是用INTEL的人多还是用AMD的人多,我曾经在ZOL论坛上发了个帖调查,感觉也没有什么结果。

根据微软的情况,没有在32位加入PatchGuard的主要原因也是为了考虑兼容,但64位开始加入PatchGuard而且是在内核级别加入的,说明微软开始逐渐收回对内核的控制能力。把软件开发人员往应用层和业务层上赶了。
2009-1-14 02:53
0
雪    币: 218
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
NaX
6
早就有大牛bypass了,网上也有资料。
2009-1-14 08:51
0
雪    币: 209
活跃值: (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
7
努力赶啊,大家都回到应用层就又和谐了很多杀毒软件,反木马程序,游戏公司也跟着倒霉了.....

如果没赶出来被人拿来对付MS的技术自然也会贫民化,其实也是这个帖子产生的原因吧?...

很多人感兴趣的东西吗,好像六楼说,似乎已经贫民化了.
2009-1-14 11:31
0
雪    币: 451
活跃值: (78)
能力值: ( LV12,RANK:470 )
在线值:
发帖
回帖
粉丝
8
实践证明 你可以disable PatchGuard
可以去看看国外的文章,偶印象是杀掉一个啥dpc过程
2009-1-14 11:58
0
雪    币: 635
活跃值: (101)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
9
用object hijack
2009-1-14 13:51
0
游客
登录 | 注册 方可回帖
返回
//