如何在进程创建之前获取该新进程信息，谢谢！！！！

楼主^#

更多发布于：2007-05-31 13:20

如前面一个问题，就是我要区分是双击notepad.exe打开，还是双击a.txt创建了一个notepad.exe进程.
我在驱动里面hook了ntcreateprocessex (xp系统),或者ntcreatesection,
psGetCurrentProcess得到EPROCESS指针，然后取得peb,但是这里面存的都是explorer.exe这个父进程的信息，
如何获得被创建进程notepad.exe的参数、进程信息呢？
谢谢！！！！！

喜欢0

formytest 驱动牛犊注册日期2007-01-16 最后登录2010-03-17 粉丝0 关注0 积分0分威望33点贡献值0点好评度32点原创分0分专家分0分加关注写私信	沙发^# 发布于：2007-05-31 17:03 大牛们，帮帮我，刚刚搜索到是在ntcreateprocessexe之后的NtSetInformationProcess设置的，那样是不是已经将线程创建好了？那样子就没法控制这个进程的创建了？？？
	回复(0) 喜欢(0)

killvxk

论坛版主

注册日期2005-10-03
最后登录2014-04-14
粉丝3
关注1
积分1082分
威望2003点
贡献值0点
好评度1693点
原创分2分
专家分0分

加关注写私信

板凳^#

发布于：2007-05-31 19:56

get them in CreateProcessNotifyRoutine

never use hook~~

没有战争就没有进步 X3工作组为您提供最好的军火

回复喜欢

formytest 驱动牛犊注册日期2007-01-16 最后登录2010-03-17 粉丝0 关注0 积分0分威望33点贡献值0点好评度32点原创分0分专家分0分加关注写私信	地板^# 发布于：2007-06-01 00:20 CreateProcessNotifyRoutine 不能控制进程创建吧？版主来了，感谢感谢。呵呵
	回复(0) 喜欢(0)

baigan 驱动牛犊注册日期2006-07-04 最后登录2011-10-21 粉丝0 关注0 积分140分威望17点贡献值0点好评度16点原创分0分专家分0分加关注写私信	地下室^# 发布于：2007-06-04 13:34 http://bbs.driverdevelop.com/htm_data/98/0706/102453.html 或许有点帮助
	回复(0) 喜欢(0)

baigan 驱动牛犊注册日期2006-07-04 最后登录2011-10-21 粉丝0 关注0 积分140分威望17点贡献值0点好评度16点原创分0分专家分0分加关注写私信	5楼^# 发布于：2007-06-25 19:51 上次没注意看楼主需求,其他也关心这个的朋友可以看看或许有一点帮助 http://hi.baidu.com/baigan/blog/item/c5f970f040837aada50f5209.html
	回复(0) 喜欢(0)

StarsunYzL

驱动牛犊

注册日期2007-01-08
最后登录2008-08-10
粉丝0
关注0
积分250分
威望26点
贡献值0点
好评度25点
原创分0分
专家分0分

加关注写私信

6楼^#

发布于：2007-07-01 22:38

双击a.txt不是会有命令行参数"notepad.exe a.txt"吗？楼上的链接应该有点用

时间就像乳沟一样，挤挤总会有的

回复喜欢

formytest 驱动牛犊注册日期2007-01-16 最后登录2010-03-17 粉丝0 关注0 积分0分威望33点贡献值0点好评度32点原创分0分专家分0分加关注写私信	7楼^# 发布于：2007-07-02 19:06 a.txt是一个绝对路径的。比如c:\windows\a.txt这样的。已经在baigan 的指点下搞定了。
	回复(0) 喜欢(0)

toyourheart0602 驱动牛犊注册日期2008-11-04 最后登录2011-12-13 粉丝0 关注0 积分21分威望201点贡献值0点好评度0点原创分0分专家分0分加关注写私信	8楼^# 发布于：2009-12-02 15:35 在zwcreatesection中有个参数通过参数就可以获得进程信息
	回复(0) 喜欢(0)

您需要登录后才可以回帖，登录或者注册

如何在进程创建之前获取该新进程信息，谢谢！！！！

最新喜欢：