[Windows编程] 监视DLL装载/卸载

Windows 驱动开发库里面提供了函数 LdrRegisterDllNotification , LdrUnregisterDllNotification ， 可以让你监视进程装载/卸载DLL 的事件。 当你想在某个DLL被加载的时候Hook它的函数； 或者当你想在某个DLL推出之前做一些保存清理工作； 或者当你想阻止某个DLL 被加载（比如外挂） .... 这个机制正可以派上用场 。

以下是代码示例如何使用 LdrRegisterDllNotification , LdrUnregisterDllNotification 监听DLL装载/卸载。

 view plaincopy to clipboardprint?
#include <Ntsecapi.h> // DDK  
typedef const UNICODE_STRING* PCUNICODE_STRING;  
 
typedef struct _LDR_DLL_LOADED_NOTIFICATION_DATA {  
    ULONG Flags;                    //Reserved.  
    PCUNICODE_STRING FullDllName;   //The full path name of the DLL module.  
    PCUNICODE_STRING BaseDllName;   //The base file name of the DLL module.  
    PVOID DllBase;                  //A pointer to the base address for the DLL in memory.  
    ULONG SizeOfImage;              //The size of the DLL image, in bytes.  
} LDR_DLL_LOADED_NOTIFICATION_DATA, *PLDR_DLL_LOADED_NOTIFICATION_DATA;  
 
typedef struct _LDR_DLL_UNLOADED_NOTIFICATION_DATA {  
    ULONG Flags;                    //Reserved.  
    PCUNICODE_STRING FullDllName;   //The full path name of the DLL module.  
    PCUNICODE_STRING BaseDllName;   //The base file name of the DLL module.  
    PVOID DllBase;                  //A pointer to the base address for the DLL in memory.  
    ULONG SizeOfImage;              //The size of the DLL image, in bytes.  
} LDR_DLL_UNLOADED_NOTIFICATION_DATA, *PLDR_DLL_UNLOADED_NOTIFICATION_DATA;  
 
typedef union _