如何区分双击notepad.exe与*.txt产生的进程notepad.exe

楼主^#

更多发布于：2007-05-28 18:00

如何区分双击notepad.exe与*.txt产生的进程notepad.exe,
如果直接运行notepad.exe这样会产生一个notepad.exe进程，
如果我双击一个a.txt,那么也会先产生一个notepad.exe,再打开a.txt
关键是我在驱动里面对进程创建的钩子里面如何分出来？
谢谢了

喜欢1

最新喜欢：

wingma...

eqinzm

驱动牛犊

注册日期2001-10-18
最后登录2018-05-29
粉丝0
关注0
积分2分
威望20点
贡献值0点
好评度10点
原创分0分
专家分0分

加关注写私信

沙发^#

发布于：2007-05-28 18:18

检查命令行.不过createprocess没办法拿到命令行.

回复喜欢

formytest 驱动牛犊注册日期2007-01-16 最后登录2010-03-17 粉丝0 关注0 积分0分威望33点贡献值0点好评度32点原创分0分专家分0分加关注写私信	板凳^# 发布于：2007-05-29 13:52 那对哪个api 进行hook能够得到参数
	回复(0) 喜欢(0)

dahubaobao 驱动牛犊注册日期2004-09-25 最后登录2012-03-14 粉丝0 关注0 积分9分威望80点贡献值0点好评度44点原创分0分专家分0分加关注写私信	地板^# 发布于：2007-05-29 16:43 PEB中有进程的完成命令行
	回复(0) 喜欢(0)

formytest 驱动牛犊注册日期2007-01-16 最后登录2010-03-17 粉丝0 关注0 积分0分威望33点贡献值0点好评度32点原创分0分专家分0分加关注写私信	地下室^# 发布于：2007-05-31 13:17 获取不到，psGetCurrentProcess得到EPROCESS指针，然后取得peb,但是这里面存的都是explorer.exe这个父进程的信息，如何获得被创建进程notepad.exe的参数、进程信息呢？谢谢
	回复(0) 喜欢(0)

发帖回复

« 返回列表

您需要登录后才可以回帖，登录或者注册

返回顶部