SeAccessCheckの無効化リベンジ

egggarden https://blog.hatena.ne.jp/egggarden/ やや温め納豆 https://egggarden.hatenadiary.org/ NTKRNL APIフックメモまとめ #2を書いていて、JMP方式ほど単純な仕組みならカーネルモードでも実装できるのではないかと考え、ProxyHookクラスをちょっと書き換えた。そしたら、わりとあっさりできた。 // DriverEntry // フック p = new ProxyHook(SeAccessCheck, NewSeAccessCheck); if (!p || p->IsBadParam() || !p->SetHook()) { return STATUS_UNSUCCESSFUL; } こんなかんじでフックして、フック後関数では // 置き換え後関数 static BOOLEAN Ne… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fegggarden.hatenadiary.org%2Fentry%2F20080115%2F1200324695" title="SeAccessCheckの無効化リベンジ - やや温め納豆" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> https://cdn-ak.f.st-hatena.com/images/fotolife/e/egggarden/20080114/20080114190722.png Hatena Blog https://hatena.blog 2008-01-15 00:31:35 SeAccessCheckの無効化リベンジ rich https://egggarden.hatenadiary.org/entry/20080115/1200324695 1.0 100%