问绕道挂接内核的usermode函数

EN

要从内核执行外部绕道，除了使用NtWriteVirtualMemory而不是WriteProcessMemory之外，您可以执行与在用户模式下相同的操作。

这个想法带来的问题是:你要跳到哪里去？您不能跳入内核，因此仍然存在将代码放入目标进程的问题。你可以写外壳代码，注入DLL等等。

但使用该驱动程序的全部目的是绕过保护和检测机制。成熟的反调试检测解决方案将通过内存完整性检查来检测您正在编写jump和您的外壳代码。

解决方案并不像"go kernel“那么简单，你需要首先取消内核的保护和检测机制。

如果您已经取消了检测/保护机制，那么您不妨注入一个DLL，并在此时执行一个正常的用户模式绕道操作。