[求助]PsSetLoadImageNotifyRoutine监视阻止驱动加载的问题-软件逆向-看雪-安全社区|安全招聘|kanxue.com

adwardwang 活跃值

2008-12-28 22:38

8871

想通过PsSetLoadImageNotifyRoutine设置NotifyRoutine，监视驱动的加载，发现被监视的驱动后就禁止加载，原来想的是直接结束该驱动的加载进程就行了，但如果是驱动的话，

NotifyRoutine(
   IN PUNICODE_STRING  pFullImageName,
   IN HANDLE  ProcessId,              
	 IN PIMAGE_INFO  pImageInfo)     
{

第二个参数ProcessId就为0了，没法结束驱动对应的进程了，有什么方法禁止驱动加载吗？或者找到加载驱动的进程也行，多谢

收藏・0

免费・0

支持

最新回复 (2)
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 2 楼一般PsSetLoadImageNotifyRoutine....接到通知后写其EPO..就行了不过你说有什么方法禁止驱动加载吗常规的话...可以hook NtLoadDriver...NtCreateSection...或者hook NtCreateKey禁止在service键下创建键 2008-12-28 23:29 0
adwardwang 雪币： 236 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 47 粉丝 0 关注私信	adwardwang 3 楼 sysnap我发的好几个贴都是你回复的，向你表示诚挚的敬意，多谢，多谢写其EPO意思就是直接修改sys文件吗？然后让驱动执行后自己退出？ 2008-12-28 23:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

adwardwang

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 2 楼一般PsSetLoadImageNotifyRoutine....接到通知后写其EPO..就行了不过你说有什么方法禁止驱动加载吗常规的话...可以hook NtLoadDriver...NtCreateSection...或者hook NtCreateKey禁止在service键下创建键 2008-12-28 23:29 0
adwardwang 雪币： 236 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 47 粉丝 0 关注私信	adwardwang 3 楼 sysnap我发的好几个贴都是你回复的，向你表示诚挚的敬意，多谢，多谢写其EPO意思就是直接修改sys文件吗？然后让驱动执行后自己退出？ 2008-12-28 23:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复