-
-
[求助]驱动插入APC注入DLL失败
-
发表于:
2015-7-19 00:53
4918
-
这个驱动的目标是停止Print Spooler服务后,往explorer进程注入DLL,启动这个服务。
这是驱动、DLL代码,我在加载Image通知函数中注入DLL,可以成功,但在创建进程通知函数中注入DLL,没成功,郁闷呢,求助。
DLL代码很简单,启动Print Spooler服务。
在加载Image通知函数中,获取kernel32.dll的
导出表的loadlibrary函数函数地址,构造APC,插入当前进程中,加载DLL。
在创建进程通知函数中,如果是spoolsv.exe进程退出,获取explorer进程ID,获取explorer进程的镜像的
导入表的kernel32.dll的loadlibrary函数函数地址,构造APC,插入当前进程中,加载DLL。
#define ProcessNotifyRoutine
定义了这个宏,就是在创建进程通知函数中注入DLL.
取消这个宏,在加载Image通知函数中注入DLL。
是思路不对吗?
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
