Là một cơ chế của Windows cho phép kernel-mode code (chẳng hạn như device driver của EDR) có thể đăng ký các functions (hay callbacks) mà OS có thể gọi tại một thời điểm cụ thể hoặc khi một event nào đó xảy ra. Một vài ví dụ về events có thể là tạo file, chỉnh sửa registry key hay DLL được loaded lên.
Danger
Việc viết code callback tệ hoặc misconfiguration có thể làm hệ thống không ổn định, chậm hoặc thậm chí là gây ra lỗ hổng bảo mật.
Một vài hàm dùng để đăng ký các callback:
- PspCreateProcessNotifyRoutine: đăng ký callback mà sẽ được gọi khi process được tạo ra hoặc xóa.
- PspLoadImageNotifyRoutine: đăng ký callback mà sẽ được gọi khi một image (DLL hay EXE) được loaded (hay mapped) vào memory
- CmRegisterCallbackEx: đăng ký callback mà sẽ được gọi khi một thread thực hiện thao tác ở trên registry.