Durante la investigación en el kernel de Windows, nos encontramos con un problema interesante con PsSetLoadImageNotifyRoutine que, como su nombre indica, notifica la carga del módulo. La cosa es, después de registrar una rutina de notificación para las imágenes cargadas de PE con el kernel, la devolución de llamada puede recibir nombres de imagen no válidos.
Comentarios
#relacionada: Kaspersky Lab. cierra el Backdoor de la CIA en Microsoft. EEUU estalla de ira [ENG]
Kaspersky Lab. cierra el Backdoor de la CIA en Mic...
theunhivedmind.comparte 2: https://breakingmalware.com/documentation/windows-pssetloadimagenotifyroutine-callbacks-good-bad-unclear-part-2/