我目前正在用 KMDF 编写内核模式驱动程序(软件驱动程序),因为我对这个主题很陌生,所以我想问你我的驱动程序是否能够在任何正在运行的进程上调用 OpenProcess 和 ReadProcessMemory 或者有什么方法可以防止我的驱动程序可以从内核模式在进程上调用这些函数吗?
您可以通过调用获取目标进程指针PsLookupProcessByProcessId。比调用KeStackAttachProcess和直接读取进程内存。因为这是用户模式内存 - 强制在__try/__except块中进行。finally 调用KeUnstackDetachProcess和ObfDereferenceObjectfor 目标进程
| 归档时间: |
|
| 查看次数: |
4910 次 |
| 最近记录: |