首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[求助]判断一个驱动是否加载完成?
发表于: 2013-5-2 08:37 8501

[求助]判断一个驱动是否加载完成?

暗能量 活跃值
2013-5-2 08:37
8501
如题!就像PsSetLoadImageNotifyRoutine,差不多的功能,这个是加载时。我想知道如何判断某个sys,是否加载完成?知道的朋友回复一下,谢谢!!

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (6)
水晶蜗牛
雪    币: 221
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
hook 能load驱动的那几个函数吧~
2013-5-2 09:50
0
coltor
雪    币: 69
活跃值: (41)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
3
1. 如果是自己的驱动,在处理IRP_MJ_CREATE的时候,通知到上层即可.
2. 如果是驱动代码,要监控其他的驱动是否加载了,那直接使用PsSetLoadImageNotifyRoutine.
3. 如果不能使用驱动代码,只能在应用层做,NtQuerySystemInformation,查询当前系统模块,不断的去遍历这个Module Table,有新的出现,则通知到自己的程序即可.
4.理论上系统的ETW机制,也能实现驱动加载更新通知的功能,可以看看WRK中:WmipStartLogger的实现.
以上提供几点思路,供参考.
2013-5-2 11:41
0
暗能量
雪    币: 13
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
PsSetLoadImageNotifyRoutine,是加载时吧,我想等某个驱动加载完成后,才HOOK他里面的函数
2013-5-2 13:14
0
coltor
雪    币: 69
活跃值: (41)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
5
就用这个PsSetLoadImageNotifyRoutine,去监听某个驱动是否加载,然后用NtQuerySystemInformation,循环查询这个驱动是否已经加载完成.
2013-5-2 14:25
0
zhendeaini
雪    币: 169
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
比较机械的,循环遍历模块,直到出现
2013-5-4 13:56
0
songbeibei
雪    币: 194
活跃值: (251)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
感觉只能循环遍历已经加载的模块,比较判断该模块是否加载。。
2013-5-11 10:36
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//