PsSetLoadImageNotifyRoutine回调列子

最新推荐文章于 2023-12-01 16:30:18 发布
最新推荐文章于 2023-12-01 16:30:18 发布
阅读量1k 收藏
点赞数
分类专栏: 二进制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CosmopolitanMe/article/details/102456032
版权 
#include <ntddk.h>

VOID LoadImageNotifyRoutine(PUNICODE_STRING FullImageName, HANDLE  ProcessId, PIMAGE_INFO  ImageInfor);
NTSTATUS	Unload(PDRIVER_OBJECT driver)
{
	DbgPrint("unload driver");
	PsRemoveLoadImageNotifyRoutine(LoadImageNotifyRoutine);
	return STATUS_SUCCESS;
}

VOID UnicodeToChar(PUNICODE_STRING uniSource, CHAR *szDest)
{
	ANSI_STRING ansiTemp;
	RtlUnicodeStringToAnsiString(&ansiTemp, uniSource, TRUE);

	strcpy(szDest, ansiTemp.Buffer);
	RtlFreeAnsiString(&ansiTemp);
}

VOID LoadImageNotifyRoutine(PUNICODE_STRING FullImageName, HANDLE  ProcessId, PIMAGE_INFO  ImageInfor)
{
	PVOID DriverEntryAddress = NULL;
	char szFullImageName[260] = { 0 };

	if (ProcessId)
	{
		UnicodeToChar(FullImageName, szFullImageName);
		//        DbgPrint("FullImageName:%s\r\n",szFullImageName);
		
		DbgPrint("%s LoadImage\r\n",szFullImageName);
		
	}
}




NTSTATUS	DriverEntry(PDRIVER_OBJECT	driver, PUNICODE_STRING	RegPath)
{
	DbgPrint("Driver Entry");
	driver->DriverUnload = Unload;

	PsSetLoadImageNotifyRoutine((PLOAD_IMAGE_NOTIFY_ROUTINE)LoadImageNotifyRoutine);
	return STATUS_SUCCESS;
}
Cosmop01itan
关注
专栏目录
PsSetLoadImageNotifyRoutine loadImageNotifyRoutine 中拿全路径
编程论坛
06-19 1103
PsSetLoadImageNotifyRoutine#include &lt;ntifs.h&gt;#include &lt;ntddk.h&gt;#include &lt;Ntstrsafe.h&gt;#include &lt;fltKernel.h&gt;//删除指针#define SafeFreeDelete(pData) { if(pData){ExFreePool(pData);pDa...
java 接口回调的例子_java接口回调的经典使用案例
weixin_29188997的博客
03-02 1133
java接口回调的经典使用案例内容简介:接口回调的理解及需要关注的问题接口回调一般常规用法接口回调简洁用法接口回调的意义接口回调简介:简单的说接口回调就是:调用者A类访问了被调用者B类中的M方法.这个M方法在执行完毕后又调用了A类中的方法.问题?B类中的M方法是如何访问A类中的方法的呢?弄清了这个问题,也就明白了接口回调.下面我们根据一个场景描述去编写代码:我们在调用者Caller类中使用被调用者...
基于PsSetLoadImageNotifyRoutine实现监控模块加载并卸载已加载模块(卸载DLL、EXE和sys等加载)
苞米地里捉小鸡的博客
09-21 3702
背景 对于内核层实现监控模块的加载,包括加载DLL模块、内核模块等。你也许会想到 HOOK 各种内核函数来实现。确定,在内核层中的 HOOK 已经给人留下太多深刻的印象了,有 SSDT HOOK、Inline HOOK、IRP HOOK、过滤驱动等等。 但是,Windows 其实给我们提供现成的内核函数接口,方便我们在内核下监控用户层上模块加载的情况,即 PsSetLoadImageNotifyRoutine 内核函数,可以设置一个回调函数,来监控监控模块加载。 现在,本文就使用 PsSetLoadI
x32下PsSetLoadImageNotifyRoutine的逆向
weixin_30273763的博客
08-03 180
一丶简介 纯属兴趣爱好.特来逆向玩玩. PsSetLoadImageNotifyRoutine 是内核中用来监控模块加载.操作系统给我们提供的回调. 我们只需要填写对应的回调函数原型即可进行加监控. 既然可以进行监控.那么我们的回调函数存储在哪.这是个问题.所以特来逆向玩玩. 二丶逆向过程 首先我的思路是直接windbg 挂载win7. 然后找到对应的函数进行 uf 反汇编. 来静态查看. 如果那...
一个PsSetLoadImageNotifyRoutine回调内核注入DLL,支持xp ~ win7源码
kingswb的博客
05-21 5698
标 题: 【原创】一个PsSetLoadImageNotifyRoutine回调内核注入DLL,支持xp ~ win7源码 作 者: oxlwj 时 间: 2011-09-11,10:43:53 链 接: http://bbs.pediy.com/showthread.php?t=139986 一个PsSetLoadImageNotifyRoutine回调内核注入DLL,支持xp ~ 
在LoadImageNotifyRoutine中取加载进程名
weixin_30466953的博客
06-16 121
在LoadImageNotifyRoutine中有一个参数:ProcessId,如果ImageInfo->SystemModeImage的话ProcessId为0,否则为加载这个程序的ProcessId,可以通过它来取进程名:NTSTATUS GetProcessNameById(OUT PCHAR ProcessName, IN HANDLE ProcessId){ PEPROCESS...
Xe2DataSnap回调基本方法总结
08-06
在Delphi中,Xe2DataSnap回调机制是一种强大的特性,允许服务器主动调用客户端的方法,从而实现双向通信。以下是对Xe2DataSnap回调基本方法的详细解释: 1. **TSQLConnection与TDSClientCallbackChannelManager组件...
JavaScript回调(callback)函数概念自我理解及示例
01-19
在JavaScript里什么叫Callback“回调函数”,用我的话来讲就是把方法b当做一个参数传递个方法a,当方法a执行完后执行另外一个指定函数(这里是b函数)。来看个列子: 代码如下: <html> <head> <...
MyEclipse 下开发Java webService 和 Java webClient 的一个完整回调列子
jiayezier的博客
07-10 1142
今天工作之余有时间整理下前段时间自己写的webService 和 webClient。步骤如下: MyEclipse 下开发Java webService 和 Java webClient 的一个完整回调列子
众为兴运动控制卡回原点列子
12-30
本篇文章将深入探讨“众为兴运动控制卡回原点”这一主题,并基于描述中的信息,提供一个详细的回原点程序开发过程。 首先,我们需要理解“回原点”在运动控制中的意义。回原点,也称为零点回归或参考点回归,是指...
精选_基于PsSetLoadImageNotifyRoutine实现监控模块加载并卸载已加载模块_源码打包
03-10
基于PsSetLoadImageNotifyRoutine实现监控模块加载并卸载已加载模块
PsSetLoadImageNotifyRoutine回调函数中使用NtProtectVirtualMemory卡死原因
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
09-12 3174
dll加载的回调应该是在MiMapViewOfSection->MiMapViewOfImageSection里吧,首先在前者调用后者前 会KeAcquireGuardedMutex (&((PROCESS)->AddressCreationLock));来进行同步NtProtectVirtualMemory->MiProtectVirtualMemory也会使用宏LOCK_ADDRESS_SPA
windows驱动 - Notify
qq726232111的博客
12-27 348
0x00 通知 流程: 由多个活动节点组成. 通知: 整个流程结束后,发送通知,根据流程的结果进行下一步操作. 不影响流程 回调: 流程中的某一节点. 在流程执行时,调用回调,并根据结果决定流程的后续处理. 影响流程 0x01 函数 //创建进程通知 PsSetCreateProcessNotifyRoutine() //参数2 加载与卸载 //加载模块通知 PsSetLoadImageNotifyRoutine() PsRemoveLoadImageNotifyRoutine() //创建线...
驱动开发:内核监视LoadImage映像回调
CSDN
10-25 9015
映像监视,当有模块被系统加载时则可以第一时间获取到加载模块信息,需要注意的是该回调函数内无法进行拦截,如需要拦截则需写入返回指令这部分内容将在下一章进行讲解,本章将主要实现对模块的监视功能。监视模块加载与卸载需要费别使用两个函数,这两个函数的参数传递都是自己的回调地址。那么如何实现监视映像加载呢,来看如下完整代码片段,首先。运行这个驱动程序,则会输出被加载的驱动详细参数。将带大家继续探索一个新的回调注册函数,注册回调,当有模块被加载则自动执行。得出是什么类型的模块,然后再通过。回调,并通过该回调实现了。
驱动开发:内核枚举LoadImage映像回调
热门推荐
CSDN
10-20 1万+
映像加载通告回调,当有新驱动或者DLL被加载时,回调函数就会被调用从而执行我们自己的回调例程,映像回调也存储在数组里,枚举时从数组中读取值之后,需要进行位运算解密得到地址。目前系统中只有两个回调,所以枚举出来的只有两条,打开ARK验证一下会发现完全正确,忽略。中我们封装实现了特征码定位功能,本章将继续使用该功能,本次我们需要枚举内核。如上所述,如果我们需要拿到回调数组那么首先要得到该数组,数组的符号名是。增加解密代码以后,这段程序的完整代码也就可以被写出来了,如下所示。首先定位到,能够找到。
7.3 Windows驱动开发:内核监视LoadImage映像回调
最新发布
CSDN
12-01 1万+
PsSetLoadImageNotifyRoutine和PsRemoveLoadImageNotifyRoutine是Windows操作系统提供的两个内核API函数,用于注册和取消注册LoadImage映像的回调函数。 LoadImage映像回调函数是一种内核回调函数,它可以用于监视和拦截系统中的模块加载事件,例如进程启动时加载的DLL、驱动程序等。当有新的模块被加载时,操作系统会调用注册的LoadImage映像回调函数,并将加载模块的相关信息传递给回调函数。
PsSetCreateProcessNotifyRoutine妙用
yushiqiang1688的专栏
01-18 1万+
最近要做一个进程监控的程序,功能很简单,就是创建和退出进程的时候,能触发我们的事件。首先的第一想法,是Hook ZwCreateProcess,结果调试的时候发现,很多创建进程的动作,并没有通过这个API执行,所以自然就是没办法监控进程的创建,于是回到本质,从创建进程的动作过程来分析,创建新的进程,其大致要经历以下步骤:(1)打开可执行文件,以FILE_EXECUTE权限打开;(2)将
【转载】分析重装系统也无法清除的鬼影病毒
weixin_30648963的博客
07-25 213
原文:分析重装系统也无法清除的鬼影病毒 声明:本文由【MS509 Team】成员expsky原创,仅用于技术交流分享,禁止将相关技术应用到不当途径。 整理电脑的时候找到自已以前分析的一个鬼影病毒的资料,当时兼容市面上主要的windows系统(XP, win7,包含x86和x64系统)样本来自国外,有不少亮点,当时花了不少时间把所有原理分析出来并重新用汇编和C++实现了出来。以前的一些资料...
x64内核HOOK技术之拦截进程.拦截线程.拦截模块
weixin_30399155的博客
02-01 692
            x64内核HOOK技术之拦截进程.拦截线程.拦截模块 一丶为什么讲解HOOK技术. 在32系统下,例如我们要HOOK SSDT表,那么直接讲CR0的内存保护属性去掉.直接讲表的地址修改即可. 但是在64位系统下,不可以这样操作了. 第一是因为 SSDT表加密了. 第二是 SSDT表你就算解密了.那么你的API的地址也会很远. SSDT表放不下4G以...
用python写一个mqtt回调函数的列子
06-13
好的,以下是一个简单的 Python 代码示例,用于实现 MQTT 回调函数: ```python import paho.mqtt.client as mqtt # 回调函数,用于处理接收到的消息 def on_message(client, userdata, message): print("Received message: " + str(message.payload.decode("utf-8"))) # 创建 MQTT 客户端对象 client = mqtt.Client() # 配置回调函数 client.on_message = on_message # 连接 MQTT 服务器 client.connect("mqtt.eclipseprojects.io", 1883) # 订阅主题 client.subscribe("test/topic") # 开始循环监听 client.loop_forever() ``` 在上面的代码中,我们首先定义了一个 `on_message` 回调函数,用于处理接收到的消息。然后,我们创建了一个 MQTT 客户端对象,并使用 `client.on_message` 方法将回调函数绑定到客户端上。接着,我们连接了一个公共的 MQTT 服务器,并订阅了一个名为 `test/topic` 的主题。最后,我们调用了 `client.loop_forever()` 方法,以开始循环监听消息。当 MQTT 服务器发布了一条消息到 `test/topic` 主题下时,回调函数 `on_message` 将会被触发,并输出该消息的内容。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值