|
阅读:1415回复:3
挂ZwCreateProcess的问题
我在2000下,已经成功拦截到了ZwCreateProcess
但是我打印出文件名却蓝屏,为什么啊? 在xp下,我也成功的拦截到了ZwCreateProcessEx,并且取出了文件名。但方法有点区别 NTSTATUS HookZwCreateProcess(OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes OPTIONAL, IN HANDLE ParentProcess, IN BOOLEAN InheritObjectTable, IN HANDLE SectionHandle OPTIONAL, IN HANDLE DebugPort OPTIONAL, IN HANDLE ExceptionPort OPTIONAL ) { NTSTATUS ret = STATUS_TIMEOUT ; ANSI_STRING ansiFileName; RtlUnicodeStringToAnsiString (&ansiFileName, ObjectAttributes->ObjectName , TRUE); RtlUpperString(&ansiFileName,&ansiFileName); DbgPrint (\"Create Process %s\\n\", ansiFileName.Buffer + 4); ..... ... .... } |
|
|
沙发#
发布于:2004-09-01 20:48
在2K下如何调用 NtCreateProcess?我使用时编译总是报“未定义的函数”。如何解决啊?
|
|
|
板凳#
发布于:2004-05-21 14:00
ZwCreateProcess 和 NtCreateProces 有什么区别吗?
在我的2K下好像只会调用 NtCreateProcess . |
|
|
|
地板#
发布于:2002-10-02 17:16
说明一下,上面一段程序是过滤ZwCreateProcess的函数
|
|