-
-
[讨论] 关于dll加载后监视和拦截的一点想法
-
发表于:
2013-10-10 19:19
8527
-
之前看了大牛Tesla.Angela 文章“[原创开源]在WIN64上无HOOK实现监控驱动加载 ”后,突然有感而发
文章中只能实现对sys文件的监视和拦截,我就琢磨着能不能也监视和拦截DLL呢,思路如下:
同样使用 PsSetLoadImageNotifyRoutine 监视dll的加载,只是在拦截的时候,不用Tesla.Angela说的去找入口点并返回
而是使用ZwUnmapViewOfSection将将dll卸载掉,
原型:
NTSTATUS ZwUnmapViewOfSection(
_In_ HANDLE ProcessHandle,
_In_opt_ PVOID BaseAddress
);
第一个参数可以通过 回调中的 进程ID号 ProcessId 获取,
第二个参数更是手到擒来,直接用IMAGE_INFO 中的ImageBase成员
以上仅仅是思路,希望大家指点,
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)