emissary

摘要： 问题来自我在看雪BBS上发的一个求助贴 【求助】关于系统回调 PsSetLoadImageNotifyRoutine 的时机问题。http://bbs.pediy.com/showthread.php?t=161196原由是我在做 IAT 注入时，发现当系统回调 PsSetLoadImageNotifyRoutine 函数的时候。我用 WinDbg 内存显示，发现那时候PE文件一些节并没有映射到内存中。从而认为那些无效内存是系统无法利用的。进而产生了疑惑。其实DDK里说得比较明白了，原文如下：The PsSetLoadImageNotifyRoutine routine registers a 阅读全文