|
阅读:2516回复:8
如何在进程创建之前获取该新进程信息,谢谢!!!!
如前面一个问题,就是我要区分是双击notepad.exe打开,还是双击a.txt创建了一个notepad.exe进程.
我在驱动里面hook了ntcreateprocessex (xp系统),或者ntcreatesection, psGetCurrentProcess得到EPROCESS指针,然后取得peb,但是这里面存的都是explorer.exe这个父进程的信息, 如何获得被创建进程notepad.exe的参数、进程信息呢? 谢谢!!!!! |
|
|
沙发#
发布于:2007-05-31 17:03
大牛们,帮帮我,刚刚搜索到是在ntcreateprocessexe之后的NtSetInformationProcess设置的,那样是不是已经将线程创建好了?那样子就没法控制这个进程的创建了???
|
|
|
板凳#
发布于:2007-06-01 00:20
CreateProcessNotifyRoutine
不能控制进程创建吧? 版主来了,感谢感谢。呵呵 |
|
|
地板#
发布于:2007-07-02 19:06
a.txt是一个绝对路径的。比如c:\windows\a.txt这样的。
已经在baigan 的指点下搞定了。 |
|