是否可以在win32 API中挂钩对ReadProcessMemory()的调用?我想用C或C ++来做。
我的意思是,每当另一个进程使用该功能时,它会在某个时刻绕过我的回调所有信息。
答案 0 :(得分:1)
您可以将代码注入到每个正在运行的进程中,并在调用进程中挂钩ReadProcessMemory,就像使用任何其他函数一样,但是没有办法将它挂钩到目标进程。
或者,您可以使用内核中的obRegisterCallbacks()通过PsProcessType对象类型和OB_OPERATION_HANDLE_CREATE操作进行过滤来检测OpenProcess()。这将显示需要句柄调用ReadProcessMemory()的任何进程。然后,当从内核触发这些事件时,您就可以执行自己的代码。您还可以通过obRegisterCallbacks例程与用户模式进程通信。