今天要讨论的问题是在一个WIN7 X64系统中WIN32程序的内部利用应用层(R3)HOOK来拦截驱动层(R0)调用的通杀方案,他能实现的效果是:
1、一个HOOK通杀所有。
2、R3层拦截驱动调用,可以篡改传递的参数。
3、可以修改驱动调用后的返回信息。
4、可以自己构造驱动返回信息而不调用驱动直接返回。
下面我们来看看是如何做到的:
Win32时代的 KiFastSystemCall大家应该不陌生,他是R3通过R0的一条道路,但在X64系统上WIN32程序中已经看不到他的影子,我们来看看变成什么样子了,如下图