[科普]WIN10(1703)开始又多了一种进程回调

ugdutjf009 · 发表于 2019-11-29 15:40:55

多谢分享看看

daterlove · 发表于 2019-12-4 11:52:21

学习学习

wpig · 发表于 2019-12-5 16:14:59

多谢分享看看

cloud1983 · 发表于 2019-12-7 11:30:12

看看是啥

taodaqiao · 发表于 2019-12-8 20:46:44

谢谢分享学习下~

kernel_test · 发表于 2020-3-10 21:01:45

我来看看是啥

heiqishi814 · 发表于 2020-3-11 06:45:43

多谢分享看看

lshlwy · 发表于 2020-3-15 15:13:41

多谢分享看看

Tizi · 发表于 2020-3-24 19:49:19

多谢分享看看

xiaodan · 发表于 2020-3-24 23:34:26

学习学习

ouyangbinghong · 发表于 2020-3-27 23:55:57

学习~ 谢谢分享

如梦而醉 · 发表于 2020-6-9 15:36:15

看看是啥回调

bianxia · 发表于 2020-6-9 20:58:58

学习学习谢谢分享

lzj664270555 · 发表于 2020-6-10 10:54:12

17年的技术，我现在要学习！

HookSuccess · 发表于 2020-6-16 06:45:47

前来学习

lpmjknj · 发表于 2020-9-6 05:54:22

学习一下

bghta · 发表于 2020-9-13 11:55:07

回复看隐藏

kinglshadow · 发表于 2020-9-30 19:44:19

学习下，在研究这个。

一直小菜鸡 · 发表于 2020-10-4 17:55:48

看看多了什么回调

滑小稽 · 发表于 2020-10-6 13:23:47

回复看看

c9080 · 发表于 2021-7-6 18:47:53

围观学习大佬

AJin · 发表于 2021-8-16 22:34:36

多谢大佬分享

stylezhou · 发表于 2021-8-23 09:37:18

看一看学一学

blackbox · 发表于 2021-9-7 11:15:28

看看

cj0377 · 发表于 2021-10-2 04:59:07

谢谢群主

ttff · 发表于 2022-3-22 18:05:15

谢谢楼主

3477568823 · 发表于 2022-9-22 17:26:19

谢谢楼主

iop02008 · 发表于 2022-9-24 18:53:07

看一看瞧一瞧

蜜蜂 · 发表于 2022-10-1 21:23:07

谢谢分享

iamasbcx · 发表于 2023-3-5 21:25:32

，看看

aeroplane32 · 发表于 2023-4-29 22:41:41

看前猜一猜，是不是和extension有关的东西

aeroplane32 · 发表于 2023-4-30 20:20:01

好吧猜错了，因为之前发现PspCallProcessNotifyRoutines函数会首先调用ExGetExtensionTable获取PspDamExtensionHost和PspBamExtensionHost这两个extension的function array，然后调用array[0]，这两个函数是dam.sys!DampCreateProcessCallback和bam.sys!BampCreateProcessCallback，也就是说这两个驱动并没有调用PsSetCreateProcessNotifyRoutine系列的函数就实现了进程监控。PspBamExtensionHost->ExtensionTable是bam!BampKernelCalloutTable，在bam!DriverEntry中初始化，不知道pg/hg有没有监控这个

账号		自动登录	找回密码
密码			加入我们