之前写着玩的一个小DEMO, 能枚举或者监控系统全局原子信息 对于系统资源的枚举常规方式一般是设法得到该资源的链表头或者数组首地址等等 这可以通过在代码中搜索或者将自身加入到资源列表中而进一步定位到它 这次枚举原子表的实验中我是通过HOOK方式来进行的, 因为内核的导出函数RtlAddAtomToAtomTable中直接引用了原子表的首地址
NTSYSAPI NTSTATUS NTAPI RtlAddAtomToAtomTable( __in PVOID AtomTableHandle, __in PWSTR AtomName, __inout_opt PRTL_ATOM Atom );
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
