64位内核第一讲,和32位内核的区别
双击调试配置请查看 连接: https://www.cnblogs.com/aliflycoris/p/5877323.html
一丶编译的区别...KPP: 内核补丁保护, 比如我们说的SSDT表,(ring3 -> ring0 中专表)在XP下是可以HOOK的,现在,这些都被保护了,只要你更改了系统的核心源码,直接蓝屏.
2.去掉KPP保护....在编写的64为内核驱动, 如果我们的系统是安全模式启动,则没有DSE保护.也就是说不用签名.
现在有工具可以直接去使用.
?
第一个选项是,点击之后,你的系统启动则是在安全模式启动....其内核中的结构体也变大了.
?
不光这个结构体,还有里面的,有兴趣的自己解析一下查看....SSDT加密算法是 模块首地址 + 当前表中的地址>>4 .我们要计算地址的时候.只需要将SSDT表中的内容的函数地址<<4位加上模块首地址即可.