紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛

 找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
查看: 19115|回复: 169

[科普]内核拦截DLL加载的正确姿势

  [复制链接]

824

主题

3388

帖子

2

精华

管理员

身居欧盟,心系中华。

Rank: 125Rank: 125Rank: 125Rank: 125Rank: 125

积分
36201
发表于 2016-12-21 22:29:11 | 显示全部楼层 |阅读模式
在我的WIN64教程里,提到了使用LoadImageNotify来拦截驱动加载。但用这个回调拦截DLL加载并不方便,主要原因有两个:1.这个时候写内存有可能导致死锁;2.DLL被拦截一次之后,重启前再也无法加载。所以,用LoadImageNotify来实现拦截DLL加载是不对的,必须使用别的方案。
游客,如果您要查看本帖隐藏内容请回复
实际上,这个方案只是在国内鲜为人知而已,在国外早被BIT9公司应用在其安全产品上。

0

主题

4

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
48
发表于 2016-12-21 22:34:26 | 显示全部楼层
坐个板凳

0

主题

49

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
76
发表于 2016-12-21 22:36:08 | 显示全部楼层
支持。。。。。。

1

主题

15

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
78
发表于 2016-12-21 22:36:32 | 显示全部楼层
我们公司的pe防火墙就是用的loadimage,应该还行吧

0

主题

26

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
84
发表于 2016-12-21 22:42:00 | 显示全部楼层
感谢楼主!

3

主题

76

帖子

0

精华

银牌会员

Rank: 3Rank: 3Rank: 3

积分
438
发表于 2016-12-21 22:46:04 | 显示全部楼层
学习,第一次离前排那么近

0

主题

34

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
68
发表于 2016-12-21 22:46:11 | 显示全部楼层
这个姿势100分!~~~

0

主题

1

帖子

0

精华

初来乍到

Rank: 1

积分
3
发表于 2016-12-21 22:48:56 | 显示全部楼层
围观

0

主题

48

帖子

0

精华

钻石会员

Rank: 6Rank: 6

积分
2910
发表于 2016-12-21 22:54:40 | 显示全部楼层
谢谢分享

1

主题

22

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
155
发表于 2016-12-21 23:05:37 | 显示全部楼层
前排占楼 这次不打错别字
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

手机版|Archiver|紫水晶工作室 ( 粤ICP备05020336号 )

GMT+8, 2021-1-17 17:52 , Processed in 0.051606 second(s), 26 queries , Gzip On.

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表