再探UCPD.sys，个人的完整分析，以及几点疑问

wowocock

DisaPDB 发表于 2025-9-27 12:59
支持，顺便再复述一遍我之前在毒组群里提过的观点：
这根本上就是一场微软对国内某些流氓厂商的黑吃黑
你 ...

那些恶心的厂商真要注入，修改注册表的话，随便整个驱动接口，从R3传参数进去驱动内干活，做这些也是分分钟简单的事。而且整个云控啥的，反正总有办法。

axeaaa

wowocock 发表于 2025-9-28 09:31
函数调用没问题，你看下汇编代码就知道了，那不过是IDA F5的BUG而已，所以还是需要经常切换回汇编代码看 ...

还是得回归汇编，这下门槛更高了
幸好bug不多，不然楼主一周估计还肝不完

DisaPDB

wowocock 发表于 2025-9-28 09:45
那些恶心的厂商真要注入，修改注册表的话，随便整个驱动接口，从R3传参数进去驱动内干活，做这些也是分分 ...

是这样，之前就发现个pdf阅读器的驱动给自家程序写了个cmregistercallback和minifilter，和r3程序通信干脏活的，当时一度非常震惊
不过微软这么干（指直接上驱动防篡改或者注入explorer和msedge）还是手段太脏了些……个人觉得和国内那种流氓差不多了。