ユーザーランド プロセスの任意のシステム機能をフックおよび監視できる、Vista および 7 でのドライバーの実装に関するアドバイスを探しています。私の目標は、ntdll、kernel32 などから呼び出されたシステム関数の引数を単純にダンプすることです。XP 以降では、SSDT の変更や同様の手法が一般的でした。Vista+ には、フィルタ ドライバと通知ルーチンがあります。これらのいずれかは、ネイティブ関数をフックするためのものですか? ドライバーは 32 および 64 ビット用で、Patch Guard とうまく連携する必要があります。どんな提案も歓迎します。
質問する
235 次