我有一个内核模式驱动程序,我正在尝试实现一种方法,以便可以从中进行用户模式挂钩。我需要通过detour / jmp从内核挂接用户模式函数。
要从内核执行外部绕行,您需要执行与在用户模式下相同的操作,除了要使用NtWriteVirtualMemory代替WriteProcessMemory。
此想法提出的问题是:您要去哪里?您无法跳入内核,因此仍然存在将代码放入目标进程的问题。您可以编写shellcode,注入DLL等...
但是使用驱动程序的全部目的是绕过保护和检测机制。成熟的反调试检测解决方案将通过内存完整性检查检测到您编写跳转和编写Shellcode。
解决方案不像“进入内核”那样简单,您需要首先从内核中取消保护和检测机制。
如果您取消了检测/保护机制,则最好注入一个DLL,然后在此时执行正常的用户模式绕行。