|
阅读:1448回复:4
关于ZwCreateProcess,急死了
我在2000下,已经成功拦截到了ZwCreateProcess
但是我打印出文件名却蓝屏,为什么啊? 在xp下,我也成功的拦截到了ZwCreateProcessEx,并且取出了文件名。但方法有点区别 NTSTATUS HookZwCreateProcess(OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes OPTIONAL, IN HANDLE ParentProcess, IN BOOLEAN InheritObjectTable, IN HANDLE SectionHandle OPTIONAL, IN HANDLE DebugPort OPTIONAL, IN HANDLE ExceptionPort OPTIONAL ) { NTSTATUS ret = STATUS_TIMEOUT ; ANSI_STRING ansiFileName; RtlUnicodeStringToAnsiString (&ansiFileName, ObjectAttributes->ObjectName , TRUE); RtlUpperString(&ansiFileName,&ansiFileName); DbgPrint (\"Create Process %s\\n\", ansiFileName.Buffer + 4); ..... ... .... } |
|
|
沙发#
发布于:2002-10-02 17:13
这段程序就是在2000下蓝屏的
|
|
|
板凳#
发布于:2002-10-08 10:10
再2k下ObjectAttributes = NULL,你访问当然死机。只有section的handle可用。
|
|
|
|
地板#
发布于:2004-05-21 13:58
那应该怎么办呢?
|
|
|
|
地下室#
发布于:2004-05-27 18:23
我已经知道了, 在 ZwCreateSection里用 FileHandle 可以得到进程的全路径。
|
|
|