比如a.exe调用CreateFile()函数,最终会调用到系统服务NtCreateFile(),有没有方法知道这个系统服务是由a.exe调用的?
回复(2) 2007-08-07 14:14 来自版块 - 反流氓、反木马和rootkit
表情
rayyang2000stack back tracing 但是据说在kernel里面很难做到稳定(2007-09-25 08:22)
MyLifeStyle如果你hook了这个系统调用,那么调用发生时所处的上下文就是a.exe所在进程的上下文,用PsGetCurrentProcessId可以得到进程的句柄。(2007-09-21 10:00)

返回顶部