Windows內核分析索引目錄:https://www.cnblogs.com/onetrainee/p/11675224.html
模塊、進程、線程回調函數的逆向
關於這些回調函數的用法,網上很多,msdn也有定義,所以就不過多寫代碼;
我們簡單逆向一下,瞭解其細節與流程,等到使用的時候,再來詳細分析。
1. 模塊回調函數
在任何內核模塊加載時,其就會調用這個函數,來顯示出模塊加載的地址。
2. PsSetLoadImageNotifyRoutine函數逆向
這個函數的簡單逆向,其中還有一個ExCompareExchangCallBack,就是嘗試交換兩個回調函數;
這個函數可能看起來比較複雜,在WRK中有定義,但是明顯和winxp有些改動。
3. LoadImageNotifyRoutine函數的調用時機
如下圖,其有一個PsCallImageNotifyRoutines函數,我們用IDA對其分析索引可以查看到;
當調用這些函數時,其會開啓回調函數,其中有一些還是值得研究的,我們後續關注下。
4. 線程回調函數與進程回調函數
