设为首页收藏本站
开启辅助访问 切换到宽版

紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛

 找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛»论坛广场 置顶区 WINDOWS核心编程 [科普]内核拦截DLL加载的正确方式
12345678910... 20下一页
返回列表 发新帖
查看: 46817|回复: 193

[科普]内核拦截DLL加载的正确方式

  [复制链接]
Tesla.Angela

854

主题

3481

帖子

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

Rank: 125Rank: 125Rank: 125Rank: 125Rank: 125

积分
36100
发表于 2016-12-21 22:29:11 | 显示全部楼层 |阅读模式
在我的WIN64教程里,提到了使用LoadImageNotify来拦截驱动加载。但用这个回调拦截DLL加载并不方便,主要原因有两个:1.这个时候写内存有可能导致死锁;2.DLL被拦截一次之后,重启前再也无法加载。所以,用LoadImageNotify来实现拦截DLL加载是不对的,必须使用别的方案。
游客,如果您要查看本帖隐藏内容请回复
实际上,这个方案只是在国内鲜为人知而已,在国外早被BIT9公司应用在其安全产品上。
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

63430334

0

主题

4

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
48
发表于 2016-12-21 22:34:26 | 显示全部楼层
坐个板凳
回复

举报

basketwill

0

主题

49

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
76
发表于 2016-12-21 22:36:08 | 显示全部楼层
支持。。。。。。
回复

举报

liwen930723

1

主题

18

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
80
发表于 2016-12-21 22:36:32 | 显示全部楼层
我们公司的pe防火墙就是用的loadimage,应该还行吧
回复 支持 反对

举报

linkerrors

0

主题

29

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
87
发表于 2016-12-21 22:42:00 | 显示全部楼层
感谢楼主!
回复

举报

flac

3

主题

78

帖子

0

精华

初来乍到

Rank: 1

积分
440
发表于 2016-12-21 22:46:04 | 显示全部楼层
学习,第一次离前排那么近
回复 支持 反对

举报

46785131

0

主题

34

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
68
发表于 2016-12-21 22:46:11 | 显示全部楼层
这个姿势100分!~~~
回复 支持 反对

举报

Success

0

主题

1

帖子

0

精华

初来乍到

Rank: 1

积分
3
发表于 2016-12-21 22:48:56 | 显示全部楼层
围观
回复

举报

thegfw

0

主题

49

帖子

0

精华

钻石会员

Rank: 6Rank: 6

积分
2911
发表于 2016-12-21 22:54:40 | 显示全部楼层
谢谢分享
回复

举报

Yecate

1

主题

23

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
156
发表于 2016-12-21 23:05:37 | 显示全部楼层
前排占楼 这次不打错别字
回复 支持 反对

举报

12345678910... 20下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

手机版|Archiver|紫水晶工作室 ( 粤ICP备05020336号 )

GMT+8, 2024-4-19 14:21 , Processed in 0.029480 second(s), 25 queries , Gzip On.

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表