ByePg

ByePG entführt die Halprivatedispatchtable-Tabelle, um einen frühen Bugcheck-Haken zu erstellen. Durch die Verwendung dieses frühen Bugcheck-Hooks sammelt es Informationen über die Ausnahme und bietet im Grunde eine einfache Schnittstelle, um einen systemweiten Ausnahmebehandler auf hoher Ebene zu registrieren.

Eine Vielzahl von Kernel-Hooks kann mit dieser Methode implementiert werden, die PatchGuard und HVCI vollständig umgeht, da sie eine völlig neue Angriffsfläche, eine ausnahmebasierte Hooking, die in Windows-Kernel bisher nicht möglich war.

https://blog.can.ac/2019/10/19/byepg-defeating-patchguard-using-exception-hooking/

• ByePgLib enthält die Basisbibliothek
• ExHook enthält ein eigenständiges Beispiel -Haken -Beispiel mit Byepg
• ExceptionHookingDemo demonstriert den Ausnahmebehandler
• InfinityHookFix enthält ein Beispiel, das den jüngsten InfinityHook -Patch von Microsoft Nutzlos rendert
• FreeSeh enthält ein SEH-VIA-BYEPG

Es gibt viele andere Dinge, die mit der Basisbibliothek erledigt werden können, und viele Dinge können verbessert werden, seien SEH -Handling oder Bugcheck -Parsen, daher würde ich jede Form des Beitrags zu diesem Repo wirklich schätzen.