-
我用SSDT HOOK了ZwCreateThread。想通过比较参数的ProcessHandle和当前调用者的Handle来判断是否为远程线程。当不同时就认为是创建远程线程。但发现有点问题,就是Explorer.exe经常要打开其他程序时,也会传不同的Handle。这样就会误... 全文
2007-05-09 14:04 来自版块 - 反流氓、反木马和rootkit
-
我在写一个实时监控API的驱动,现在可以截获调用。但是截获以后我要驱动等待用户的决定。(就像卡吧那样),代码如下:KeSetEvent(pMyhook,0,FALSE);//通知用户KeClearEvent(pMyhook); //自己等待用户的决定KeWaitForSing... 全文
2007-05-08 22:58 来自版块 - 内核编程
-
我安装好了WinDBG,设置了符号路径,进入Kernel debuglkd> !processNT symbols are incorrect, please fix symbols大家遇到过类似的问题吗??
2007-05-03 13:05 来自版块 - 内核编程
