LdrLoadDll是否有内核模式回调？

Question

我试图做一个exe分析器，现在想跟踪/记录所有加载/使用exe文件通过LdrLoadDll在内核模式驱动程序（我创建用户模式在过去）中的EXE。 我的问题是在64位版本的Windows，因为在64位我不能使用SSDT挂钩，我找不到任何替代解决方案。

在64位有内核模式回调，如：PsSetCreateProcessNotifyRoutine（替代挂钩CreateProcess的），但我找不到这种情况下，任何解决方案。现在我的问题是：是否有LdrLoadDll的内核模式回调？或者我必须找到64位内核挂钩的解决方案？

Answer 1

您可以使用PsSetLoadImageNotifyRoutine注册驱动程序提供的回调。当驱动程序映像或用户映像（DLL，EXE）映射到虚拟内存时，将调用您的回调函数。

Windows在PASSIVE_LEVEL处调用此回调。