c9080
发表于 2021-7-6 18:47:53
围观学习大佬
AJin
发表于 2021-8-16 22:34:36
多谢大佬分享
stylezhou
发表于 2021-8-23 09:37:18
看一看学一学
blackbox
发表于 2021-9-7 11:15:28
看看
cj0377
发表于 2021-10-2 04:59:07
谢谢群主
ttff
发表于 2022-3-22 18:05:15
谢谢楼主
3477568823
发表于 2022-9-22 17:26:19
谢谢楼主
iop02008
发表于 2022-9-24 18:53:07
看一看瞧一瞧
蜜蜂
发表于 2022-10-1 21:23:07
谢谢分享
iamasbcx
发表于 2023-3-5 21:25:32
,看看
aeroplane32
发表于 2023-4-29 22:41:41
看前猜一猜,是不是和extension有关的东西
aeroplane32
发表于 2023-4-30 20:20:01
好吧猜错了,因为之前发现PspCallProcessNotifyRoutines函数会首先调用ExGetExtensionTable获取PspDamExtensionHost和PspBamExtensionHost这两个extension的function array,然后调用array,这两个函数是dam.sys!DampCreateProcessCallback和bam.sys!BampCreateProcessCallback,也就是说这两个驱动并没有调用PsSetCreateProcessNotifyRoutine系列的函数就实现了进程监控。PspBamExtensionHost->ExtensionTable是bam!BampKernelCalloutTable,在bam!DriverEntry中初始化,不知道pg/hg有没有监控这个
Ast1rtes
发表于 2023-5-4 10:48:27
感谢分享
376408384
发表于 2023-12-15 11:50:20
我来学习
xssfitter
发表于 2024-11-26 14:51:05
看看是哪个回调
WordStar
发表于 2024-12-2 10:06:03
学习一下,感谢大哥分享
wst5898
发表于 2025-1-25 19:24:33
那可要好好学习下,谢谢分享
IBinary
发表于 2025-6-23 18:49:48
特此来学习.
Intel-小林同学
发表于 2025-7-7 01:43:57
看看不说话
Wiezerzz
发表于 2025-7-23 18:28:35
学习一下