[2020]PsSetLoadImageNotifyRoutine拦截dll加载的小坑 huoji PsSetLoadImageNotifyRoutine,AddressCreationLock 2020-12-02 559 次浏览 0 次点赞 LoadImageNotify回调是MiMapViewOfImageSection中call PsCallImageNotifyRoutines实现的 但是在之前MiMapViewOfImageSection会调用 LOCK_ADDRESS_SPACE (Process); 这个东西WRK里面是: KeAcquireGuardedMutex (&((PROCESS)->AddressCreationLock)); 如果你不解锁AddressCreationLock,你就无法使用NtProtectVirtualMemory 也就无法在dll main写ret了 本文由 huoji 创作,采用 知识共享署名 3.0,可自由转载、引用,但需署名作者且注明文章出处。 点赞 0
还不快抢沙发