首页>编程与逆向>PC安全编程>反流氓、反木马和rootkit>系统服务被调用时,能否知道是哪个进程的哪个模块调用的?
回复
« 返回列表
zxm1983123
zxm1983123
驱动牛犊
驱动牛犊
  • 注册日期2005-10-20
  • 最后登录2008-01-22
  • 粉丝1
  • 关注0
  • 积分475分
  • 威望49点
  • 贡献值0点
  • 好评度47点
  • 原创分0分
  • 专家分0分
写私信
阅读:2030回复:2

系统服务被调用时,能否知道是哪个进程的哪个模块调用的?

楼主#
更多 发布于:2007-08-07 14:14
比如a.exe调用CreateFile()函数,最终会调用到系统服务NtCreateFile(),有没有方法知道这个系统服务是由a.exe调用的?
喜欢0
回复
MyLifeStyle
MyLifeStyle
驱动牛犊
驱动牛犊
  • 注册日期2007-08-01
  • 最后登录2009-09-25
  • 粉丝0
  • 关注0
  • 积分2分
  • 威望16点
  • 贡献值0点
  • 好评度4点
  • 原创分0分
  • 专家分0分
写私信
沙发#
发布于:2007-09-21 10:00
如果你hook了这个系统调用,那么调用发生时所处的上下文就是a.exe所在进程的上下文,用PsGetCurrentProcessId可以得到进程的句柄。
回复(0) 喜欢(0)
rayyang2000
rayyang2000
管理员
管理员
  • 注册日期2001-03-23
  • 最后登录2012-09-13
  • 粉丝3
  • 关注0
  • 积分1036分
  • 威望925点
  • 贡献值3点
  • 好评度823点
  • 原创分0分
  • 专家分0分
写私信
板凳#
发布于:2007-09-25 08:22
stack back tracing
但是据说在kernel里面很难做到稳定
天天coding-debugging中----超稀饭memory dump file ======================================================== [b]Windows Device Driver Development and Consulting Service[/b] [color=blue][url]http://www.ybwork.com[/url][/color] ========================================================
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部