请教:关于对象回调枚举CallbackList的求助
typedef struct _OB_CALLBACK{
LIST_ENTRYListEntry;
ULONG64 Unknown;
ULONG64 ObHandle;
ULONG64 ObjTypeAddr;
ULONG64 PreCall;
ULONG64 PostCall;
} OB_CALLBACK, *POB_CALLBACK
向前辈们请教,请问枚举的对象回调,怎么查到是属于哪个驱动注册的呢?感谢 枚举所有的驱动程序,并测量出函数地址位于哪个驱动的范围内。
页:
[1]