是否可以在 win32 API 中挂钩对 ReadProcessMemory() 的调用?我想用 C 或 C++ 来做。
我的意思是,每当另一个进程使用该函数时,它都会在某个时候使用所有信息绕过我的回调。
问问题
1316 次
1 回答
1
您可以将代码注入到每个正在运行的进程中,并在调用进程中挂钩 ReadProcessMemory,就像您对任何其他函数一样,但您无法从目标进程中挂钩它。
或者,您可以使用内核中的obRegisterCallbacks()通过 PsProcessType 对象类型和 OB_OPERATION_HANDLE_CREATE 操作过滤来检测OpenProcess() 。这将向您显示任何需要句柄才能调用ReadProcessMemory()的进程。然后,当这些事件从内核触发时,您将能够执行自己的代码。您还可以从 obRegisterCallbacks 例程中与用户模式进程对话。
于 2017-12-05T05:20:46.390 回答