[原创]分析PsSetLoadImageNotifyRoutine-编程技术-看雪-安全社区|安全招聘|kanxue.com

wx_不够

2021-10-5 14:46

11381

PsSetLoadImageNotifyRoutine

先看看ExAllocateCallBack 做了什么

申请一个0x18字节的内存 3个8字节

第一个8字节=0

第二个8字节=回调地址

第三个8字节=0

接下来看ExCompareExchangeCallBack 做了什么

这里简单表诉ExAcquireRundownProtectionEx 干了什么

*(a2*)=0x10*2;

到ExCompareExchangeCallBack了。先理理思维

a1=&PspLoadImageNotifyRoutine

a2=一个18字节大小的指针 //里面第二个8字节就是回调地址就是PsSetLoadImageNotifyRoutine的参数1

开始分析emmm不知道咋开口讲的跟看的是一个意思=。=

来看看数组深刻理解一下吧

发现了有什么一样的地方吗

收藏・6

免费・1

支持

最新回复 (2)
黑洛雪币： 6129 活跃值： (4971) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 80 关注私信	黑洛 1 2 楼借你个回调用用不过分吧 2021-10-8 07:26 2
killleer 雪币： 1556 活跃值： (2332) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 11 关注私信	killleer 3 楼黑洛借你个回调用用不过分吧这就是vt上一大堆随机名杀软监控驱动的原因吗？爱了爱了 2021-10-9 11:58 1
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

wx_不够

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
黑洛雪币： 6129 活跃值： (4971) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 80 关注私信	黑洛 1 2 楼借你个回调用用不过分吧 2021-10-8 07:26 2
killleer 雪币： 1556 活跃值： (2332) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 11 关注私信	killleer 3 楼黑洛借你个回调用用不过分吧这就是vt上一大堆随机名杀软监控驱动的原因吗？爱了爱了 2021-10-9 11:58 1
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复