HookSuccess 发表于 2020-7-5 16:57:41

自己的进程回调函数处理完毕后不想再给其它回调函数处理

在注册进程回调的时候 ,假如注册了一个高度比较高的回调,有没有办法让其进入我的回调以后 ,就不再继续向下通知了。之前在一个视频上看到说可以通过返回值。这个返回值 我也没查到。

Tesla.Angela 发表于 2020-7-5 23:09:19

不存在其它返回值。ObjectPreCallback returns an OB_PREOP_CALLBACK_STATUS value. Drivers must return OB_PREOP_SUCCESS.https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/wdm/nc-wdm-pob_pre_operation_callback

tangptr@126.com 发表于 2020-7-5 23:44:08

目前而言,不论precall还是postcall,都会走到ObpCallPostOperationCallbacks,看IDA就会发现调用回调函数时根本不鸟返回值。只能推测微软搞出这个返回值规定是为了能兼容未来的新标准。

HookSuccess 发表于 2020-7-6 09:37:32

tangptr@126.com 发表于 2020-7-5 23:44
目前而言,不论precall还是postcall,都会走到ObpCallPostOperationCallbacks,看IDA就会发现调用回调函数 ...

了解了感谢

HookSuccess 发表于 2020-7-6 09:38:41

Tesla.Angela 发表于 2020-7-5 23:09
不存在其它返回值。https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/wdm/nc-wdm-pob_pre_o ...

好的 谢谢了解了
页: [1]
查看完整版本: 自己的进程回调函数处理完毕后不想再给其它回调函数处理