创建进程相关底层api

楼主^#

更多发布于：2007-04-18 12:13

ntcreateprocessEx与ntcreateprocess是ntdll.dll里面的
pscreatesystemprocess是ntoskrnl.exe提供的
如果要hook所有进程创建，是不是得hook这三个函数，
那太麻烦了，　或者有哪一个是所有进程创建都要调用的？
请指教，
谢谢

z.b.Azy 驱动牛犊注册日期2006-03-11 最后登录2013-04-29 粉丝0 关注0 积分263分威望95点贡献值0点好评度91点原创分2分专家分0分加关注写私信	沙发^# 发布于：2007-04-18 18:23 Pspcreateprocess
	回复(0) 喜欢(0)

formytest 驱动牛犊注册日期2007-01-16 最后登录2010-03-17 粉丝0 关注0 积分0分威望33点贡献值0点好评度32点原创分0分专家分0分加关注写私信	板凳^# 发布于：2007-04-19 00:10 好，我明天试试。谢谢
	回复(0) 喜欢(0)

beiujm

驱动小牛

加关注写私信

地板^#

发布于：2008-01-29 11:35

ntcreateceation

http://beiyu.bokee.com

回复喜欢

WQXNETQIQI

驱动大牛

加关注写私信

地下室^#

发布于：2008-01-29 16:15

IRP_MJ_CREATE

驱动开发者呵呵

回复喜欢

killvxk

论坛版主

加关注写私信

5楼^#

发布于：2008-01-30 10:01

很好，很邪恶

没有战争就没有进步 X3工作组为您提供最好的军火

回复喜欢

niumowangmeng 驱动牛犊注册日期2008-02-22 最后登录2008-06-07 粉丝0 关注0 积分150分威望16点贡献值0点好评度15点原创分0分专家分0分加关注写私信	6楼^# 发布于：2008-03-23 16:54 HOOK NtCreateSection可以实现，但是结果很奇怪
	回复(0) 喜欢(0)

wowocock

VIP专家组

加关注写私信

7楼^#

发布于：2008-03-23 22:07

NtCreateSection可以拦截所有PE加载,进程的话,还是NTCREATETHREAD系列比较好.

花开了，然后又会凋零，星星是璀璨的，可那光芒也会消失。在这样一瞬间，人降生了，笑者，哭着，战斗，伤害，喜悦，悲伤憎恶，爱。一切都只是刹那间的邂逅，而最后都要归入死亡的永眠

回复喜欢

您需要登录后才可以回帖，登录或者注册