请教大大们，如何 hook MmLoadSystemImage ？

楼主^#

更多发布于：2007-12-23 22:00

最近碰到的一点小问题，需要用到驱动patch驱动的技术。。。

但是问题是，被patch 的驱动，是动态加载的，也就是说，我无法知道那个驱动在什么时刻会被加载

但是我要达到的目的是，

1，监控目标驱动的加载，如监控 A.sys

2，我想在 A.sys 刚刚 load 进内存，还没有开始执行 A.sys 的 DirverEntry 的时候，就先修改 A.sys 在内存中的代码。

请问，大大们，要做到我上面说的需求，用 hook MmLoadSystemImage 的方法可行么？
如果要 hook 的话，如何得到 MmLoadSystemImage 的原始地址？
用 MmGetSystemRoutineAddress 似乎不能得到 MmLoadSystemImage 的地址哦。。。。

喜欢0

wowocock

VIP专家组

注册日期2002-04-08
最后登录2016-01-09
粉丝16
关注2
积分601分
威望1651点
贡献值1点
好评度1227点
原创分1分
专家分0分

加关注写私信

沙发^#

发布于：2007-12-28 12:20

参考以前讨论过的卡卡驱动原理。

花开了，然后又会凋零，星星是璀璨的，可那光芒也会消失。在这样一瞬间，人降生了，笑者，哭着，战斗，伤害，喜悦，悲伤憎恶，爱。一切都只是刹那间的邂逅，而最后都要归入死亡的永眠

回复喜欢

piggy 驱动牛犊注册日期2001-08-24 最后登录2012-01-14 粉丝0 关注0 积分4分威望27点贡献值0点好评度16点原创分0分专家分0分加关注写私信	板凳^# 发布于：2007-12-28 02:16 你想得太复杂了吧, 或者是你看DDK文档不仔细. 用这个吧, PsSetLoadImageNotifyRoutine(), 很容易
	回复(0) 喜欢(0)

发帖回复

« 返回列表

您需要登录后才可以回帖，登录或者注册

返回顶部

请教大大们，如何 hook MmLoadSystemImage ？

最新喜欢：