怎么监视dll的加载
如何监视dll的加载
我所知的
1.debug api 然后捕获dll加载事件
2.挂loadlibrary
3.挂LdrLoaddll(这个没有找到可用的例程,自己测试也一直出错误,不知道哪位大侠有可用的例子借鉴下)
4.更底层点ZwmapViewOfSection(这个是我发现OD的break in new module断下返回的时候是在这个函数的空间里,也没测试过)
不知道大家有没有好点的例子,求指教
------解决思路----------------------
没什么特别要求的话用用MS提供的方法了 PsSetLoadImageNotifyRoutine
------解决思路----------------------
HOOK ZwMapViewOfSection是可以的,360就是这么干的。
SSDT下钩
我所知的
1.debug api 然后捕获dll加载事件
2.挂loadlibrary
3.挂LdrLoaddll(这个没有找到可用的例程,自己测试也一直出错误,不知道哪位大侠有可用的例子借鉴下)
4.更底层点ZwmapViewOfSection(这个是我发现OD的break in new module断下返回的时候是在这个函数的空间里,也没测试过)
不知道大家有没有好点的例子,求指教
------解决思路----------------------
没什么特别要求的话用用MS提供的方法了 PsSetLoadImageNotifyRoutine
------解决思路----------------------
HOOK ZwMapViewOfSection是可以的,360就是这么干的。
SSDT下钩