文本比较 已生成: 2010-4-9 10:33:29     模式: 全部   左侧文件: C:Documents and Settings66_不思进取桌面下载os6631767673chapter3chapter3epmtest5a.asm   右侧文件: C:Documents and Settings66_不思进取桌面下载os6631767673chapter3chapt

SSDT Hook的妙用－对抗ring0 inline hook(转) 1,SSDT      SSDT即系统服务描述符表，它的结构如下(参考《Undocument Windows 2000 Secretes》第二章):      typedef struct _SYSTEM_SERVICE_TABLE      {        PVOID   ServiceTableBase;

RING0 与 RING3之间的简单交互          叫简单交互的原因是，只从ring3传给ring0一个变量的值，不涉及到锁事件的问题(有点像多线程的那个东东...)。这里我使用了最简单的例子，就是SSDT HOOK NtOpenProcess. ring3的应用程序将自己的PID传给ring0的驱动，驱动hook NtOpenProcess之后就无法从任务管理器终止应用程序了。

保护模式 前面我们可以任意的访问内存，寄存器在段式内存中，其实没有界限，操作系统和用户程序实际上做不到内存的隔离。 用户程序所访问的逻辑地址，实际上就是物理地址。 用户程序可以随意修改段基址（mbr es=7c00 loader=b800） 保护模式将16位寄存器扩展到了32位  向下兼容，原先得段+偏移这种编程寻址结构，不破坏这种结构。 INTEL专门设计了一个数据结构来描述这个

接论坛帖子：http://topic.csdn.net/u/20120518/18/9a00ec5c-b3d1-4a1f-9bc1-ba1a47b52463.html 例子应用如下。我只是给一个方法给大家，这个方法肯定很麻烦，有需求的人可以用。 添加Module1 [vb]  view plain copy Private asm_CallCode() As Byte, Ki