[已解决]驱动开发使用LoadImageNotifyRoutine监视模块加载做到拦截某些模块加载-编程技术-看雪-安全社区|安全招聘|kanxue.com

只想睡个好觉

2018-8-27 14:16

3219

驱动开发使用LoadImageNotifyRoutine监视模块加载做到拦截某些模块加载。

在模块通知回调中我通过进程基址来获得该模块的入口地址，如果该模块不在我的白名单里，就写入拒绝访问得机器码来阻止他加载。

但每次一个程序被写入了拒绝访问机器码后，我如果不想阻止它，但是他的入口地址机器码已经写拒绝了，不重启的情况下，怎么把入口地址内容恢复过来。

我尝试在每次阻止一个模块加载后把修改前的地址内容保存下来，阻止后再写回去。但这样第一次也不能阻止了。

最后于 2019-2-25 11:15 被只想睡个好觉编辑，原因：

收藏・1

免费・0

支持

最新回复 (2)
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 2 楼推荐用Minifilter做拦截 2018-8-27 15:09 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 3 楼 https://bbs.pediy.com/thread-226525.htm 2018-8-28 08:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

只想睡个好觉

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 2 楼推荐用Minifilter做拦截 2018-8-27 15:09 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 3 楼 https://bbs.pediy.com/thread-226525.htm 2018-8-28 08:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复