标签: winapi kernel hook driver windows-kernel
我正在寻找在Vista和7下实现驱动程序的建议,它可以为用户空间进程挂钩和监视任意系统功能。我的目标是简单地转储从ntdll,kernel32等调用的系统函数的参数。来自XP,SSDT修改和类似的技术很受欢迎。在Vista +上有过滤器驱动程序和通知例程。这些中的任何一个是否用于挂钩本机功能?该驱动程序适用于32位和64位,并且必须与Patch Guard配合使用。欢迎任何建议。
答案 0 :(得分:1)
ObCallback类似于SSDT挂钩。
ObCallback