版块
论坛
喜欢
话题
应用
搜索
登录
注册
zxm1983123的个人空间
访问量
0
新鲜事
帖子
资料
http://bbs3.driverdevelop.com/index.php?m=space&uid=122588
系统服务被调用时,能否知道是哪个进程的哪个模块调用的?
比如a.exe调用CreateFile()函数,最终会调用到系统服务NtCreateFile(),有没有方法知道这个系统服务是由a.exe调用的?
回复
(
2
)
2007-08-07 14:14
来自版块 -
反流氓、反木马和rootkit
◆
◆
表情
告诉我的粉丝
提 交
rayyang2000
:
stack back tracing 但是据说在kernel里面很难做到稳定
(2007-09-25 08:22)
回复
MyLifeStyle
:
如果你hook了这个系统调用,那么调用发生时所处的上下文就是a.exe所在进程的上下文,用PsGetCurrentProcessId可以得到进程的句柄。
(2007-09-21 10:00)
回复
zxm1983123
加关注
写私信
0
关注
1
粉丝
48
帖子
返回顶部