绕过映像加载内核回调函数

原文标题：Bypassing Image Load Kernel Callbacks原文地址：https://www.mdsec.co.uk/2021/06/bypassing-image-load-kernel-callbacks/随着安全团队的不断进步，攻击者完全控制其操作的每个部分，从基础架构到在终端上发生的个别操作，变得至关重要。尽管如此，映像加载事件一直是我尽量忽视的内容，尽管它们可以深入了解终端上的行动。这是因为它们发生在内核内部，所以低权限进程无法绕过这一点，对吗？什么是映像加载事件？在开始之前，了解映像加载事件的基本概念以及安全解决方案如何监视这些事件是很重要的。每当操作系统加载系统驱动程序、可执行映像或动态链接库时，注册的映像加载回调函数就会被触发。只有通过内核驱动程序中的PsSetLoadImageNotifyRoutine例程，程序才能注册这些回调函数。以下是一个实现的示例：VOIDImageLoadCallbackRoutine( PUNICODE_STRING FullIma ………………………………