[2021]Windows PatchGuard KiErrata671Present
huoji PG,hypervisor,patchguard,KiErrata671Present 2021-08-18 2724 次浏览 4 次点赞
本文由 huoji 创作,采用 知识共享署名 3.0,可自由转载、引用,但需署名作者且注明文章出处。
huoji PG,hypervisor,patchguard,KiErrata671Present 2021-08-18 2724 次浏览 4 次点赞
5 条评论
添加新评论
但是在 windbg中断下来看到的rip还是hook前的内容
请问一下大佬
x64下用 EPT hook ssdt中某个函数的头部,然后 hook成功,但是过一会在这个ssdt的这个函数页表中会出现 出现 Access violation - code c0000005错误,请问这个是为什么
ept hook内核不分页的代码段也需要锁定物理页(假设不锁定,确实过几天那个虚拟地址就不是映射之前那个物理页了,你的ept hook就不存在了),三天之后触发PG去世,这个是自1709起就有的操作了
括号内的内容想表达的是,其实github上面的开源ept,其实都是存在触发PG的问题,只不过由于它们都不锁定物理页,故此ept hook失效未触发PG
好的 感谢指出 改天验证一下