如何截获系统创建进程?

楼主^#

更多发布于：2004-01-13 13:20

我在win2000下修改2e中断的地址能够实现正常截获,但在xp下却不行.用softice跟踪确定2e中断的地址已经修改,可却无法执行到我的hook函数.在2000下一切正常.
请问各位是什么问题,或者是否还有别的方法可以截获系统创建进程.

wowocock

VIP专家组

加关注写私信

沙发^#

发布于：2004-01-13 16:51

可以还是通过HOOK NTCREATEPROCESS来实现，不要用INT2E
在XP以后被SYSENTER，SYSCALL所代替了，如果你汇编不过关的话，还是别跟踪了，因为你根本跟不到相应的代码的。。。

花开了，然后又会凋零，星星是璀璨的，可那光芒也会消失。在这样一瞬间，人降生了，笑者，哭着，战斗，伤害，喜悦，悲伤憎恶，爱。一切都只是刹那间的邂逅，而最后都要归入死亡的永眠

回复喜欢

waqis 驱动牛犊注册日期2003-06-03 最后登录2017-08-21 粉丝0 关注0 积分15分威望2点贡献值0点好评度1点原创分0分专家分0分加关注写私信	板凳^# 发布于：2004-01-14 09:06 刚刚看了一下,应该用rdmsr和wpmsr修改一下sysenter_eip_msr寄存器会可以,不过在masm中我可以用宏定义一下未支持的指令rdmsr,wpmsr,sysenter,sysexit可是在vc6中怎么支持这些指令呢?
	回复(0) 喜欢(0)

waqis 驱动牛犊注册日期2003-06-03 最后登录2017-08-21 粉丝0 关注0 积分15分威望2点贡献值0点好评度1点原创分0分专家分0分加关注写私信	地板^# 发布于：2004-01-14 09:17 刚刚看到_EMIT
	回复(0) 喜欢(0)

wowocock

VIP专家组

加关注写私信

地下室^#

发布于：2004-01-14 10:02

参考我以前在CVC中对该指令的介绍

花开了，然后又会凋零，星星是璀璨的，可那光芒也会消失。在这样一瞬间，人降生了，笑者，哭着，战斗，伤害，喜悦，悲伤憎恶，爱。一切都只是刹那间的邂逅，而最后都要归入死亡的永眠

回复喜欢

waqis 驱动牛犊注册日期2003-06-03 最后登录2017-08-21 粉丝0 关注0 积分15分威望2点贡献值0点好评度1点原创分0分专家分0分加关注写私信	5楼^# 发布于：2004-01-14 10:54 查阅了Intel Architecture Software Developer Manual的v2.Instruction Set Reference已经实现了.
	回复(0) 喜欢(0)

else 驱动小牛注册日期2002-10-21 最后登录2004-06-12 粉丝0 关注0 积分0分威望0点贡献值0点好评度0点原创分0分专家分0分加关注写私信	6楼^# 发布于：2004-01-14 18:15 XP只用ZwCreateProcessEx创建进程
	回复(0) 喜欢(0)

您需要登录后才可以回帖，登录或者注册