请教大大们，如何 hook MmLoadSystemImage ？

最近碰到的一点小问题，需要用到驱动patch驱动的技术。。。

但是问题是，被patch 的驱动，是动态加载的，也就是说，我无法知道那个驱动在什么时刻会被加载

但是我要达到的目的是，

1，监控目标驱动的加载 ，如 监控 A.sys

2，我想在 A.sys 刚刚 load 进内存，还没有开始执行 A.sys 的 DirverEntry 的时候，就先修改 A.sys 在内存中的代码。



请问，大大们，要做到我上面说的需求，用 hook  MmLoadSystemImage 的方法可行么？
如果要 hook 的话，如何得到  MmLoadSystemImage 的原始地址？
用 MmGetSystemRoutineAddress 似乎不能得到 MmLoadSystemImage 的地址哦。。。。

不是告诉过你了嘛！
再说个简单的办法，用ZwSetInformation加载驱动，然后看 call DriverEntry的返回地址，MmLoadSystemImage就在上面不远处~

引用第1楼WQXNETQIQI于2007-12-24 18:30发表的  :
不是告诉过你了嘛！
再说个简单的办法，用ZwSetInformation加载驱动，然后看 call DriverEntry的返回地址，MmLoadSystemImage就在上面不远处~

哇，难道这个是MJ 大大的马甲？？

失敬，失敬，
我是到处发，哈哈哈，知道了。。。谢谢MJ 大大。。。

不是告诉过你了嘛！
再说个简单的办法，用ZwSetInformation加载驱动，然后看 call DriverEntry的返回地址，MmLoadSystemImage就在上面不远处~

???在哪告诉了。讲给我听，很想知道这方面的知识

提供WINDOWS启动时的图形库及键盘接口.

提供内核层超稳定的HOOK库,可以拦任何函数，
  如NTOSKRNL.EXE,BOOTVID.DLL,KDCOM.DLL,HAL.DLL等所有的函数。

          连系EMAIL ： qydok@126.com



----

WINDOWS启动时的图形库？不要告诉我你是调的Inbvxxxx，那太无聊了

还有，WINDOWS启动时 的没用，要ownership完了还能返回的

键盘接口就更简单了，ROOTKIT。COM上的韩国键盘王子有一堆~~

内核超稳定的HOOK库我这有N多种，你要哪一个？