Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
カーネルドライバー関数から単一プロセスのみをフックする方法を教えてください。たとえば、ZwQueryInformationProcess です。
ありがとう!
Windowsカーネルではそれを行うことはできません。ntoskrnlのZwXXX関数はネイティブAPIです。それらはグローバルな共通機能です。ユーザーモードのすべてのプロセスは、関数の1つのコピーを使用しています。カーネルには、コピーオンライトなどはありません。これは、次の方法で実装できます。
それで全部です。
ありがとう。