1

我正在尝试制作一个 exe 分析器,现在想通过挂钩内核模式驱动程序LdrLoadDll来跟踪/记录所有在 exe中加载/使用的 Dll (我过去创建了用户模式)。我的问题是在 64 位版本的 Windows 中,因为在 64 位中我不能使用SSDT挂钩,而且我找不到任何替代解决方案。

在 64Bit 中有内核模式回调,例如:PsSetCreateProcessNotifyRoutine(替代挂钩CreateProcess),但我找不到任何解决方案。现在我的问题是:LdrLoadDll 是否有内核模式回调?还是我必须找到 64 位内核挂钩的解决方案?

4

1 回答 1

1

您可以使用PsSetLoadImageNotifyRoutine注册驱动程序提供的回调。当驱动程序映像或用户映像(DLL、EXE)映射到虚拟内存时,将调用您的回调。

Windows 在 PASSIVE_LEVEL 调用此回调。

于 2014-11-03T04:35:05.117 回答