LdrLoadDll 是否有内核模式回调?

【问题标题】:Is there a kernel-mode callback for LdrLoadDll?LdrLoadDll 是否有内核模式回调?
【发布时间】:2014-09-02 06:16:31
【问题描述】:

我正在尝试制作一个 exe 分析器,现在想通过在 内核模式驱动程序中挂钩 LdrLoadDll 来跟踪/记录所有在 exe 中加载/使用的 Dll(我创建了用户-模式过去)。 我的问题是在 64 位版本的 windows 中,因为在 64 位中我不能使用 SSDT 挂钩,我找不到任何替代解决方案。

在 64 位中有内核模式回调,例如:PsSetCreateProcessNotifyRoutine(替代挂钩 CreateProcess)但我找不到任何解决方案。现在我的问题是:LdrLoadDll 是否有内核模式回调?还是我必须找到 64 位内核挂钩的解决方案?

【问题讨论】:

    标签: windows callback driver hook kernel-mode


    【解决方案1】:

    您可以使用PsSetLoadImageNotifyRoutine 注册驱动程序提供的回调。当驱动程序映像或用户映像(DLL、EXE)映射到虚拟内存时,将调用您的回调。

    Windows 在 PASSIVE_LEVEL 调用此回调。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2018-07-15
      • 1970-01-01
      • 1970-01-01
      • 2013-09-13
      • 2012-07-31
      • 2012-04-15
      • 2014-11-05
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode