首页>编程与逆向>内核编程>如何拦击NtCreateProcess()并得到进程名?
回复
« 返回列表
lghtly
lghtly
驱动牛犊
驱动牛犊
  • 注册日期2004-10-14
  • 最后登录2005-11-29
  • 粉丝0
  • 关注0
  • 积分1分
  • 威望1点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
阅读:1877回复:4

如何拦击NtCreateProcess()并得到进程名?

楼主#
更多 发布于:2004-12-06 15:24
如何拦击NtCreateProcess()并得到进程名?急!!!!!!!!!!!
喜欢1

最新喜欢:

agchenagchen
回复
lghtly
lghtly
驱动牛犊
驱动牛犊
  • 注册日期2004-10-14
  • 最后登录2005-11-29
  • 粉丝0
  • 关注0
  • 积分1分
  • 威望1点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
沙发#
发布于:2004-12-07 08:15
当我们启动一个新进程时,是那个进程调用的CreateProcess?
还是NtCreateProcess?这个时间系统内都发生了些什么?

如何对进程创建进行控制?
回复(0) 喜欢(0)
fslife
fslife
驱动大牛
驱动大牛
  • 注册日期2004-06-07
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分9分
  • 威望49点
  • 贡献值0点
  • 好评度20点
  • 原创分0分
  • 专家分0分
写私信
板凳#
发布于:2004-12-07 10:28
刚才试了一下,Hook所有进程,替换CreateProcess,就可以截获所有的进程启动了。想想Hook NtCreateProcess肯定没有问题,具体好像就是通过Hook系统服务表来实现吧。
在交流中学习。。。
回复(0) 喜欢(0)
lghtly
lghtly
驱动牛犊
驱动牛犊
  • 注册日期2004-10-14
  • 最后登录2005-11-29
  • 粉丝0
  • 关注0
  • 积分1分
  • 威望1点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
地板#
发布于:2004-12-07 19:29
刚才试了一下,Hook所有进程,替换CreateProcess,就可以截获所有的进程启动了。

新启动一个程序,是那个进程创建了它的进程,是Exploer.exe吗?
回复(0) 喜欢(0)
fslife
fslife
驱动大牛
驱动大牛
  • 注册日期2004-06-07
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分9分
  • 威望49点
  • 贡献值0点
  • 好评度20点
  • 原创分0分
  • 专家分0分
写私信
地下室#
发布于:2004-12-08 09:04
可以肯定,在资源浏览器、桌面启动新进程的,应该就是Explore.exe。
在交流中学习。。。
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部