ring0下通过内核重载绕过杀软hook

内核重载听起来是一个很高大上的概念,但其实跟PE的知识息息相关,那么为什么会有内核重载的出现呢?我们知道从ring3进入ring0需要通过int2e/sysenter(syscall)进入ring0,而进入ring0之后又会通过KiFastCallEntry/KiSystemService去找SSDT表对应响应的内核函数,那么杀软会在这两个地方进行重点盯防。
  • 发表于 2022-03-28 09:37:48
  • 阅读 ( 5140 )
  • 分类:漏洞分析

0 条评论

请先 登录 后评论
szbuffer
szbuffer

30 篇文章