Tesla.Angela 发表于 2014-12-21 13:19:31

《WIN64驱动教程》补充[28]:WIN64上枚举关机和蓝屏回调

作者:Tesla.Angela

关机回调和蓝屏回调就是在关机前和蓝屏前执行的回调,可能被某些病毒木马用于关机前或蓝屏前回写。所以ARK工具也提供枚举和删除这些回调的功能。关机回调只有1种(ShutdownNotification),不过蓝屏回调有2种:BugCheckCallback和BugCheckReasonCallback。这2种(或者说3种)回调有类似的地方:都存在于一个结构体链表里。找到各自的链表头,即可枚举出所有的关机和蓝屏回调。不过关机回调略为奇葩:它的回调地址并非记录在系统的结构体连表里,而是记录在各个驱动的分发例程(IRP_MJ_SHUTDOWN)里。代码跟枚举CreateProcess、CreateThread、LoadImage等回调大同小异。
**** Hidden Message *****

ugvjewxf 发表于 2014-12-22 13:41:31

备用,以后用到再来学习下,

5ak 发表于 2024-1-4 14:03:16

学习了

baggiowangyu 发表于 2024-1-27 01:05:28

2024补充学习

Undefined 发表于 2024-2-15 14:30:57

谢谢分享!

sound 发表于 2024-2-19 17:02:04

学习一下

im_cjh 发表于 2024-3-1 10:59:56

谢谢分享,学习一下

IBinary 发表于 2024-3-4 16:49:56

谢谢Tesla 学习下这个.

yimingqpa 发表于 2024-3-28 17:02:28

感谢楼主。          学习一下。

nj001 发表于 2024-4-1 08:56:04

学习一下

wst5898 发表于 2025-1-26 14:15:41

好好学习
页: [1]
查看完整版本: 《WIN64驱动教程》补充[28]:WIN64上枚举关机和蓝屏回调