Здравствуйте, стоит задача перехватит вызов сторонней программой функции LoadLibrary. Как перехватывать всякие NtCreateFile и прочее мне понятно. Но как перехватить то, что программа пытается подгрузить стороннюю библиотеку не очень понятно. Если есть мысли в какую сторону копать, то подскажите пожалуйста.
маппирование файла в память, не? --- Сообщение объединено, 11 янв 2019 --- вообще еще подумал, это не подходит: https://docs.microsoft.com/en-us/wi...nt/ntddk/nf-ntddk-pssetloadimagenotifyroutine
Наверное, надо смотреть как загрузчик винды подгружает новую длл. Почитайте Руссиновича или сорцы вин2к. LdrLoadDll не пойдет, тут надо CreateFile + маппинг секций и прочее. Не делал такое, чисто теоретически предполагаю.
само собой... я тебе сказал уже, либо PsSetLoadImageNotifyRoutine, либо перехват маппирования в память (не знаю как, гугли)... ну можно еще создание потока перехватить или открытие файла...
