当前位置: 首页 > 工具软件 > pg > 使用案例 >

什么是PG

臧兴学
2023-12-01

   什么是PG

支持正版理由:

1:售后服务,疑问解答,仙人指路

2:看翻录十年,不如经人一点

 

**********************************************************************

   大家好,欢迎大家回来AGP编程技术论坛的X64精英班课程

官方网站:www.AntiGameProtect.com

**********************************************************************

 

我们继续接着上一节课,64位下引入PG,即PatchGuard

PatchGuard就是Windows Vista(以上)的内核保护系统,防止任何非授权软件试图“修改”Windows内核它会循环检查几个敏感驱动(比如ntoskrnl(不一定是这个名字),win32K是否被修改,如果发现,则引发0x109蓝屏,参看:

http://msdn.microsoft.com/en-us/library/windows/hardware/ff557228

 

PG管的很宽,涉及到如下方面,它都管:

 

我们关注:

0x0:SSDT,ShadowSSDT,导入导处表

0x1:一个函数的完整性效验(具有代表性的操作就是InlineHook)

 

EPROCESS(进程链表):

在64位下,利用断链的方法隐藏进程,也会触发0x109蓝屏。

 

 

在win64位上不能进行Hook的主要原因和理解误区:

1:在win64位下不能Hook,是因为驱动没有签名

2:在win64位下不能Hook,是因为系统本身不支持

3:没有数字签名就不能在win64下学习驱动编程(具体看第一节课1.1)

4:win64下完全不能进行Hook

 

写一个简单的断链表隐藏进程的代码,去验证PG的存在。

 

 

 

如何快速绕过PG方便学习64位驱动和Hook:

 

这里就提供一个简单的方法来让大家可以学习64位驱动编程

 

 

 类似资料: