#windows #arm64
Вопрос:
как поставщик безопасности, мне нужно внедриться в процессы Windows как можно раньше. Поэтому я исправляю LdrPloadDll() из своего драйвера по мере создания новых процессов и выполняю шелл-код, который загружает мою dll.
Это отлично работает в Windows на Intel, включая WOW. Это отлично работает и для Windows на ARM64. Я также заставил его работать над уровнем ARM32 WOW для Windows на Arm64.
Однако он не работает для эмуляции x64 и x86 wow на ARM64. Введенная библиотека DLL intel x64 отлично выполняет dll main (только вывод строки dbg). Затем процесс завершается сбоем при возврате из библиотеки dll с повреждением стека.
Знаете ли вы метод ранней инъекции, который работает на 64-разрядных процессах wow в сборках win11 insider ARM ?
Большое спасибо, Майк