1

LdrLoadDll私はexeプロファイラーを作成しようとしていますが、カーネルモードドライバーにフックすることにより、exeでロード/使用するすべてのDLLをトレース/ログに記録したいと考えています(過去にユーザーモードを作成しました)。私の問題は、Windows の 64 ビット バージョンにあります。64 ビットではSSDTフックを使用できず、これに対する代替ソリューションが見つからないためです。

64Bitでは、次のようなカーネル モード コールバックがあります。私の質問は次のとおりです。LdrLoadDll のカーネルモード コールバックはありますか? または、64 ビット カーネル フックの解決策を見つける必要がありますか?

4

1 に答える 1

1

PsSetLoadImageNotifyRoutineを使用して、ドライバー提供のコールバックを登録できます。ドライバー イメージまたはユーザー イメージ (DLL、EXE) が仮想メモリにマップされると、コールバックが呼び出されます。

Windows は、このコールバックを PASSIVE_LEVEL で呼び出します。

于 2014-11-03T04:35:05.117 に答える