KeServiceDescriptorTable/syscall-hook

# syscall-hook syscall-hook 是一个简单的驱动程序，使用微软的 tracing 实现来 hook 系统调用。该项目符合 HVCI 和 PatchGuard 规范。 其核心原理完全依赖于 KiTrackSystemCallEntry。 ``` if ((KiDynamicTraceMask & 1)) { v55 = v26; v56 = v27; v57 = a3; v58 = a4; v59 = (__int64 (__fastcall *)(void *, __int64__int64, __int64))v34; v67 = KiTrackSystemCallEntry((__int64)v34,(__int64)v55, 4, (__int64)&v65); v53 = v59(v55, v56, v57, v58); v22 = KiTrackSystemCallExit(v67, v53); } ``` ## 这就是神奇之处。我不想再解释这个了…… 它运行良好，非常有效且稳定。PatchGuard 不会干扰你，HVCI 也不会。如果你说它有问题，那你已经输了。孩子，我都要哭（crine）了。 # 致谢 @KeServiceDescriptorTable

标签：Conpot, EDR绕过, HVCI兼容, KiTrackSystemCallEntry, PatchGuard兼容, Rootkit技术, Syscall Hook, UML, WDM驱动, Windows 10, Windows 11, Windows内核, Windows安全, 内核调试, 内核驱动开发, 内联挂钩, 动态追踪, 底层安全, 白帽子, 系统调用钩子, 高交互蜜罐