看流星社区

 找回密码
 注册账号
查看: 2155|回复: 0

驱动中使用加载回调来监控进程加载 或者DLL加载 驱动加载

[复制链接]

该用户从未签到

发表于 2017-6-3 11:06:37 | 显示全部楼层 |阅读模式

#include "ntddk.h"
//#include "Ntifs.h"
//PVOID


NTSTATUS PsSetLoadImageNotifyRoutine(
PLOAD_IMAGE_NOTIFY_ROUTINE NotifyRoutine);
NTSTATUS PsRemoveLoadImageNotifyRoutine(
__in PLOAD_IMAGE_NOTIFY_ROUTINE NotifyRoutine);
//PVOID




void xxxx(
__in_opt PUNICODE_STRING FullImageName,
__in HANDLE ProcessId,
__in PIMAGE_INFO ImageInfo
){

if (ImageInfo->SystemModeImage==0)//判断是不是驱动加载
{
KdPrint(("NAME : %S ImageBase : %d PID: %d",FullImageName->Buffer,ImageInfo->ImageBase,ProcessId));







}













}
void DriverUnload(PDRIVER_OBJECT pobject){
PsRemoveLoadImageNotifyRoutine(xxxx);


}
NTSTATUS DriverEntry(PDRIVER_OBJECT pobj,PUNICODE_STRING pon){
PsSetLoadImageNotifyRoutine(xxxx);
pobj->DriverUnload=DriverUnload;
return STATUS_SUCCESS;
}
打开DEbugView就能够看见 那个进程加载了什么 至于 猥琐的事情嘿嘿你懂的= =
点击按钮快速添加回复内容: 支持 高兴 激动 给力 加油 苦寻 生气 回帖 路过 感恩
您需要登录后才可以回帖 登录 | 注册账号

本版积分规则

小黑屋|手机版|Archiver|看流星社区 |网站地图

GMT+8, 2024-3-19 11:46

Powered by Kanliuxing X3.4

© 2010-2019 kanliuxing.com

快速回复 返回顶部 返回列表