ядра Windows: латание код в модулях OS

Окружающая среда:ядра Windows: латание код в модулях OS

для Windows 8.1 (x64)
Visual Studio
WinDbg

При водитель пуску, мне нужно изменить один байт bthport.sys, чтобы изменить его поведение во время выполнения, я могу найти точное место для обновления, к сожалению, при обновлении инструкции, которую я получаю GeneralProtection faliure, настройка флага WP в регистре CR0 не помогла ,

Как я могу программно контролировать защиту страниц в драйвере режима ядра?

источник

2014-10-26 NadavRub

В настоящее время Windows имеет функцию PatchGuard, противодействие вредоносному ПО. А ты. Наверняка вы знали, что когда-нибудь вы забудете вас в заднем конце. –

Check "Windows 8 Kernel Memory Ограждения Bypass" по адресу: https://labs.mwrinfosecurity.com/blog/2014/08/15/windows-8-kernel-memory-protections-bypass/

источник

2014-10-26 12:43:14 user3861866

Вы можете попытаться изменить код, не изменяя защиты страницы. Это зависит от того, где вы должны изменить этот байт. Для некоторых драйверов произошло, что IRP Major и IRP Minor обратные вызовы сохраняются в разделе .DATA. Если код находится внутри этих обратных вызовов, вы можете заменить их собственным кодом (знайте о глобальном, который они использовали).

источник

2014-10-27 09:04:45 antoxar

ядра Windows: латание код в модулях OS

ответ

Смежные вопросы