看了国内部分几个内核注册表穿越的驱动,用来绕过市面上量最大的菜鸟rootkit们,因为只会勾SSDT就出来混的真的有很多啊……
大概这么几个思路
1. 懒得处理,直接调用Zw***Key
2. Map一份kernel.exe到内存中,按照内核基址重定位,把N
看了国内部分几个内核注册表穿越的驱动,用来绕过市面上量最大的菜鸟rootkit们,因为只会勾SSDT就出来混的真的有很多啊……
大概这么几个思路
1. 懒得处理,直接调用Zw***Key
2. Map一份kernel.exe到内存中,按照内核基址重定位,把N