阅读:1923回复:9
文件过滤驱动内核中如何访问某个进程(.exe)的执行代码
如题。首先可以在驱动获得进程的EThread 因此可以获得 PID, EPROCESS等相关结构,但如何定为到这个进程(.exe)的第一条指令代码呢?我想可以通过查看PE文件结构可以定为到这个.exe的entrypoint ,从而获得指令的开始,貌似比较麻烦,想请教大虾这个思路对不对?或则可以通过EPROCESS直接定为到相关进程的执行代码么?
|
|
沙发#
发布于:2008-09-26 09:59
to znsoft, wowocock,dreamsity:
谢谢你们的回复。貌似也只能这么做了。我是要做个特殊进程过滤的功能,想根据进程特征而不只是文件名来过滤进程,所以想到用文件可执行部分的二进制代码作为特征来验证。 |
|
板凳#
发布于:2008-09-26 23:24
引用第6楼eleqi于2008-09-26 10:09发表的 : 我觉得这个功能就是来加固正常进程的吧,以使正常进程能访问加密文件。而那些加壳的伪装进程(即便加壳)肯定也会因为2进制代码不同而通不过验证啊,不知道你是啥意思 |
|