系统安全二进制安全C/C++一线开发 [2021]PatchGuard的 542875F90F9B47F497B64BA219CACF69 回调研究(一) 在研究/看别人研究PG的时候,我注意到了在KiFilterFiberContext函数里面的一个 ![](https://key08.com/usr/uploads/2021/06/652292203.png) 这个操作 在 [windows10 patchguard 分析研究(版本:1803)](https://key08.com/index.php/2021/01/09/880.html "windows10 patchguard 分析研究(版本:1803)") 中,他们说这个是注册了一个 "TV" 回调 实际上是错误的,这个 "TV"字符串只是用于填充 ObjectAttributes.ObjectName这个字段的unicode_string,真实名字应该叫做"542875F90F9B47F497B64BA219CACF69",仅此而已 如果你想跟进sub_140386010 你就错了,**这个函数是一个巨大的、不可名状的、超过1W+行代码**的PG检查函数(10990行代码),至于是什么我们会在下文说,先关心一下这个注册了什么回调: 阅读全文 2021-06-28 huoji 0 条评论