我正在尝试创建一个exe分析器,现在想通过在内核模式驱动程序中挂钩LdrLoadDll来跟踪/记录在exe中加载/使用的所有Dll(我过去创建了用户模式。
我的问题是在64位版本的Windows中,因为在64位我不能使用 SSDT 挂钩,我无法找到任何替代解决方案。
在64位中有内核模式回调,例如: PsSetCreateProcessNotifyRoutine (替代挂钩 CreateProcess )但我无法找到任何解决方案案件。现在我的问题是:LdrLoadDll是否有内核模式回调?或者我是否必须找到64位内核挂钩的解决方案?
答案 0 :(得分:1)
您可以使用PsSetLoadImageNotifyRoutine注册驱动程序提供的回调。当驱动程序映像或用户映像(DLL,EXE)映射到虚拟内存时,将调用您的回调。
Windows在PASSIVE_LEVEL上调用此回调。