NtOpenProcess

楼主^#

更多发布于：2007-05-08 13:50

  HOOK NtOpenProcess后，

NTSTATUS
MyNtOpenProcess( //参数省略
   POBJECT_ATTRIBUTES ObjectAttributes)
{
   NTSTAUTS status;
   status=OldNtOpenProcess(...
   POBJECT_ATTRIBUTES ObjectAttributes);

  //此处死机，WINDBG显示是ACCESS_VIOLATION,而且ObjectAttributes的值为0x0
   DbgPrint("%wZ\n",ObjectAttributes->ObjectName);
}

高手给点建议

喜欢0

zh002008 驱动牛犊注册日期2004-08-22 最后登录2013-09-06 粉丝1 关注1 积分545分威望155点贡献值0点好评度51点原创分0分专家分0分加关注写私信	沙发^# 发布于：2007-05-16 16:27 换个取得函数地址的方法吧，让上层传下来吧
	回复(0) 喜欢(0)

zqw2006 驱动牛犊注册日期2006-07-07 最后登录2009-02-02 粉丝0 关注0 积分430分威望44点贡献值0点好评度43点原创分0分专家分0分加关注写私信	板凳^# 发布于：2007-05-16 16:41 ObjectAttributes是输入参数，你需要判断输入参数的合法性。应该是： if (ObjectAttributes!=NULL) DbgPrint("%wZ\n",ObjectAttributes->ObjectName);
	回复(0) 喜欢(0)

发帖回复

« 返回列表

您需要登录后才可以回帖，登录或者注册

返回顶部

NtOpenProcess

最新喜欢：