在内核中，可以使用ObRegisterCallbacks这个内核回调函数来实现监控进程和线程对象操作。通过注册一个OB_CALLBACK_REGISTRATION回调结构体，可以指定所需的回调函数和回调的监控类型。这个回调结构体包含了回调函数和监...

当你需要在Windows操作系统中监控进程的启动和退出时，可以使用PsSetCreateProcessNotifyRoutineEx函数来创建一个MyCreateProcessNotifyEx回调函数，该回调函数将在每个进程的创建和退出时被调用。...

在前面的文章《驱动开发：内核解析PE结构导出表》中我们封装了两个函数KernelMapFile()函数可用来读取内核文件，GetAddressFromFunction()函数可用来在导出表中寻找指定函数的导出地址，本章将以此为基础实现对特定SSDT函...