|
|
作者:Tesla.Angela
关机回调和蓝屏回调就是在关机前和蓝屏前执行的回调,可能被某些病毒木马用于关机前或蓝屏前回写。所以ARK工具也提供枚举和删除这些回调的功能。关机回调只有1种(ShutdownNotification),不过蓝屏回调有2种:BugCheckCallback和BugCheckReasonCallback。这2种(或者说3种)回调有类似的地方:都存在于一个结构体链表里。找到各自的链表头,即可枚举出所有的关机和蓝屏回调。不过关机回调略为奇葩:它的回调地址并非记录在系统的结构体连表里,而是记录在各个驱动的分发例程(IRP_MJ_SHUTDOWN)里。代码跟枚举CreateProcess、CreateThread、LoadImage等回调大同小异。
|
|
发表于 2014-12-21 13:19:31
发表于 2014-12-22 13:41:31
