模块、进程、线程回调函数的逆向

 Windows内核分析索引目录：https://www.cnblogs.com/onetrainee/p/11675224.html

模块、进程、线程回调函数的逆向

关于这些回调函数的用法，网上很多，msdn也有定义，所以就不过多写代码；

我们简单逆向一下，了解其细节与流程，等到使用的时候，再来详细分析。

 

1. 模块回调函数

　　在任何内核模块加载时，其就会调用这个函数，来显示出模块加载的地址。

　　

 

2. PsSetLoadImageNotifyRoutine函数逆向

　　这个函数的简单逆向，其中还有一个ExCompareExchangCallBack，就是尝试交换两个回调函数；

　　这个函数可能看起来比较复杂，在WRK中有定义，但是明显和winxp有些改动。

　　

 

3. LoadImageNotifyRoutine函数的调用时机

　　如下图，其有一个PsCallImageNotifyRoutines函数，我们用IDA对其分析索引可以查看到；

　　当调用这些函数时，其会开启回调函数，其中有一些还是值得研究的，我们后续关注下。

　　

 

4. 线程回调函数与进程回调函数