什么是PG

   什么是PG

支持正版理由：

1：售后服务，疑问解答，仙人指路

2：看翻录十年，不如经人一点

 

**********************************************************************

   大家好，欢迎大家回来AGP编程技术论坛的X64精英班课程

官方网站：www.AntiGameProtect.com

**********************************************************************

 

我们继续接着上一节课，64位下引入PG，即PatchGuard：

PatchGuard就是Windows Vista（以上）的内核保护系统，防止任何非授权软件试图“修改”Windows内核。它会循环检查几个敏感驱动（比如ntoskrnl（不一定是这个名字），win32K）是否被修改,如果发现,则引发0x109蓝屏，参看：

http://msdn.microsoft.com/en-us/library/windows/hardware/ff557228

 

PG管的很宽，涉及到如下方面，它都管：

 

我们关注：

0x0：SSDT，ShadowSSDT，导入导处表

0x1：一个函数的完整性效验（具有代表性的操作就是InlineHook）

 

EPROCESS(进程链表)：

在64位下，利用断链的方法隐藏进程，也会触发0x109蓝屏。

 

 

在win64位上不能进行Hook的主要原因和理解误区：

1：在win64位下不能Hook，是因为驱动没有签名

2：在win64位下不能Hook,是因为系统本身不支持

3：没有数字签名就不能在win64下学习驱动编程（具体看第一节课1.1）

4：win64下完全不能进行Hook

 

写一个简单的断链表隐藏进程的代码，去验证PG的存在。

 

 

 

如何快速绕过PG方便学习64位驱动和Hook：

 

这里就提供一个简单的方法来让大家可以学习64位驱动编程