已同意 发表于 2024-4-25 11:48

看出 +0xC8就是CallBack回调的LIST_ENTRY链表头 然后遍历就OK了
这里面弄了个小技巧 可以找出对象钩子所属的驱动 但是时间复杂度很点高
ObjectType获取比较麻烦
win10没有导出ObTypeIndexTable这个指

khuntoria 发表于 2024-5-27 12:59

感谢楼主分享

哇哈哈哈哈 发表于 2024-6-24 19:09

谢谢分享

nike 发表于 2025-3-19 23:24

页: 1 2 [3]
查看完整版本: [Win10/Driver]枚举已加载内核(驱动)+对象钩子+对象类型(ObjectType)