Tesla.Angela
发表于 2016-12-21 22:29:11
[科普]内核拦截DLL加载的正确方式
在我的WIN64教程里,提到了使用LoadImageNotify来拦截驱动加载。但用这个回调拦截DLL加载并不方便,主要原因有两个:1.这个时候写内存有可能导致死锁;2.DLL被拦截一次之后,重启前再也无法加载。所以,用LoadImageNotify来实现拦截DLL加载是不对的,必须使用别的方案。
**** Hidden Message *****实际上,这个方案只是在国内鲜为人知而已,在国外早被BIT9公司应用在其安全产品上。
63430334
发表于 2016-12-21 22:34:26
坐个板凳
basketwill
发表于 2016-12-21 22:36:08
支持。。。。。。
liwen930723
发表于 2016-12-21 22:36:32
我们公司的pe防火墙就是用的loadimage,应该还行吧
linkerrors
发表于 2016-12-21 22:42:00
感谢楼主!
flac
发表于 2016-12-21 22:46:04
学习,第一次离前排那么近
46785131
发表于 2016-12-21 22:46:11
这个姿势100分!~~~
Success
发表于 2016-12-21 22:48:56
围观
thegfw
发表于 2016-12-21 22:54:40
谢谢分享
Yecate
发表于 2016-12-21 23:05:37
前排占楼 这次不打错别字
eroy
发表于 2016-12-21 23:20:32
涨涨姿势
maigo
发表于 2016-12-21 23:56:02
围观
kz丶cn
发表于 2016-12-22 00:04:30
感谢分享
kz丶cn
发表于 2016-12-22 00:08:00
这个方法确实可行 我还实现过 那个IRP下 PageProtection如果等于PAGE_EXECUTE就是加载操作
renminbi
发表于 2016-12-22 08:59:18
应该在哪拦截
daterlove
发表于 2016-12-22 09:30:01
楼主霸气
wtxpwh
发表于 2016-12-22 09:33:34
看看学习一下。
haidejintou
发表于 2016-12-22 09:38:50
nice,学习
haidejintou
发表于 2016-12-22 09:40:00
支持。。。。。。
fhpknight
发表于 2016-12-22 09:50:55
牛逼大大
Alpha.Po
发表于 2016-12-22 10:01:45
看看。。。。
xtfpg
发表于 2016-12-22 10:04:16
我要学习
n36437517
发表于 2016-12-22 11:18:59
学习学习。。。。。
yimingqpa
发表于 2016-12-22 12:20:23
看看.
1171320344
发表于 2016-12-22 13:05:25
回复学习下
deegar
发表于 2016-12-22 15:12:23
学习国外高手的玩法!
jyw0113
发表于 2016-12-22 15:52:16
这个必须学习下
3207145141
发表于 2016-12-23 09:12:10
学习一下这个拦截方式.谢谢.
xiaotaotao
发表于 2016-12-23 10:23:09
赞一下楼主
lsj_pro
发表于 2016-12-23 10:23:52
这姿势 ,哈哈哈
tangptr@126.com
发表于 2016-12-23 10:57:17
围观
菜鸟找虫子
发表于 2016-12-23 14:50:02
看看~~