ugdutjf009
发表于 2019-11-29 15:40:55
多谢分享 看看
daterlove
发表于 2019-12-4 11:52:21
学习学习
wpig
发表于 2019-12-5 16:14:59
多谢分享 看看
cloud1983
发表于 2019-12-7 11:30:12
看看是啥
taodaqiao
发表于 2019-12-8 20:46:44
谢谢分享学习下~
kernel_test
发表于 2020-3-10 21:01:45
我来看看是啥
heiqishi814
发表于 2020-3-11 06:45:43
多谢分享 看看
lshlwy
发表于 2020-3-15 15:13:41
多谢分享 看看
Tizi
发表于 2020-3-24 19:49:19
多谢分享 看看
xiaodan
发表于 2020-3-24 23:34:26
学习学习
ouyangbinghong
发表于 2020-3-27 23:55:57
学习~ 谢谢分享
如梦而醉
发表于 2020-6-9 15:36:15
看看是啥回调
bianxia
发表于 2020-6-9 20:58:58
学习学习 谢谢分享
lzj664270555
发表于 2020-6-10 10:54:12
17年的技术,我现在要学习!
HookSuccess
发表于 2020-6-16 06:45:47
前来学习
lpmjknj
发表于 2020-9-6 05:54:22
学习一下
bghta
发表于 2020-9-13 11:55:07
回复看隐藏
kinglshadow
发表于 2020-9-30 19:44:19
学习下,在研究这个。
一直小菜鸡
发表于 2020-10-4 17:55:48
看看多了什么回调
滑小稽
发表于 2020-10-6 13:23:47
回复看看
c9080
发表于 2021-7-6 18:47:53
围观学习大佬
AJin
发表于 2021-8-16 22:34:36
多谢大佬分享
stylezhou
发表于 2021-8-23 09:37:18
看一看学一学
blackbox
发表于 2021-9-7 11:15:28
看看
cj0377
发表于 2021-10-2 04:59:07
谢谢群主
ttff
发表于 2022-3-22 18:05:15
谢谢楼主
3477568823
发表于 2022-9-22 17:26:19
谢谢楼主
iop02008
发表于 2022-9-24 18:53:07
看一看瞧一瞧
蜜蜂
发表于 2022-10-1 21:23:07
谢谢分享
iamasbcx
发表于 2023-3-5 21:25:32
,看看
aeroplane32
发表于 2023-4-29 22:41:41
看前猜一猜,是不是和extension有关的东西
aeroplane32
发表于 2023-4-30 20:20:01
好吧猜错了,因为之前发现PspCallProcessNotifyRoutines函数会首先调用ExGetExtensionTable获取PspDamExtensionHost和PspBamExtensionHost这两个extension的function array,然后调用array,这两个函数是dam.sys!DampCreateProcessCallback和bam.sys!BampCreateProcessCallback,也就是说这两个驱动并没有调用PsSetCreateProcessNotifyRoutine系列的函数就实现了进程监控。PspBamExtensionHost->ExtensionTable是bam!BampKernelCalloutTable,在bam!DriverEntry中初始化,不知道pg/hg有没有监控这个