Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html
模块、进程、线程回调函数的逆向
关于这些回调函数的用法,网上很多,msdn也有定义,所以就不过多写代码;
我们简单逆向一下,了解其细节与流程,等到使用的时候,再来详细分析。
1. 模块回调函数
在任何内核模块加载时,其就会调用这个函数,来显示出模块加载的地址。
2. PsSetLoadImageNotifyRoutine函数逆向
这个函数的简单逆向,其中还有一个ExCompareExchangCallBack,就是尝试交换两个回调函数;
这个函数可能看起来比较复杂,在WRK中有定义,但是明显和winxp有些改动。
3. LoadImageNotifyRoutine函数的调用时机
如下图,其有一个PsCallImageNotifyRoutines函数,我们用IDA对其分析索引可以查看到;
当调用这些函数时,其会开启回调函数,其中有一些还是值得研究的,我们后续关注下。
4. 线程回调函数与进程回调函数