我正在编写一个litle程序可以保护计算机免受恶意软件的攻击。所以,我想挂钩到在加载之前创建进程的函数(在加载之前,我想检查md5总和)。我该怎么办?
答案 0 :(得分:0)
在Windows Vista SP1或更高版本中,您可以使用ObRegisterCallback例程(http://msdn.microsoft.com/en-us/library/windows/hardware/ff557745(v=vs.85).aspx)。它仅在内核模式下可用,但我猜您使用标签“driver”时可以正常使用。