Как известно с помощью PsSetLoadImageNotifyRoutine можно отслеживать загрузку модулей в usermode. А есть ли аналог данной функции для модулей в ядре - драйверов? Или нужно перехватывать NtLoadDriver?
n0name Спасибо! Так и есть. Еще один вопрос вдогонку. Callback функция вызывается по некольку раз для каздого загружаемого модуля. То есть например, я запускаю notepad.exe и вижу, что callback вызывается по нескольку раз для "notepad.exe" и его dlls. Во первых почему есть многократные вызовы callback, во вторых, есть ли способ заставить callback вызываться лишь один раз?
"Почему" вопрос тут не самый интересный, потому как один хрен изменить это поведение возможным не представляется. А решить эту проблему можно, но способ решения зависит от того, для чего это всё нужно. В одном случае можно реализовать что-то типа конечного автомата с памятью. В другом случае надобно сделать очередь с анализом при выборке. Ну как-то так )
