[求助]hook ntcreateprocess-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
fmicromath 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 62 粉丝 0 关注私信	fmicromath 2 楼 //kernel debug (win xp / win 2003 server) to see structures // then we can get file name according section object // ( EPROCESS-> ) SectionObject(_SECTION_OBJECT)->Segment(_SEGMENT)-> // ControlArea (_CONTROL_AREA)->FilePointer( _FILE_OBJECT) /* nt!_SECTION_OBJECT ... +0x014 Segment : Ptr32 _SEGMENT_OBJECT note: _SEGMENT_OBJECT seemed to be _SEGMENT in fact !!! and use Segment as _SEGMENT can success lkd> DT _SEGMENT nt!_SEGMENT +0x000 ControlArea : Ptr32 _CONTROL_AREA ... lkd> DT _CONTROL_AREA nt!_CONTROL_AREA ... +0x024 FilePointer : Ptr32 _FILE_OBJECT ... */ 2010-3-28 20:53 0
gzsmhf 雪币： 247 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 154 粉丝 0 关注私信	gzsmhf 3 楼 lkd> dt _SECTION_OBJECT nt!_SECTION_OBJECT +0x000 StartingVa : Ptr32 Void +0x004 EndingVa : Ptr32 Void +0x008 Parent : Ptr32 Void +0x00c LeftChild : Ptr32 Void +0x010 RightChild : Ptr32 Void +0x014 Segment : Ptr32 _SEGMENT_OBJECT 你的意思是windbg写错了，应该是_SEGMENT？ 2010-3-29 14:47 0
fmicromath 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 62 粉丝 0 关注私信	fmicromath 4 楼嗯~~~~~~~~~~~~~~~ 2010-3-29 23:52 0
gzsmhf 雪币： 247 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 154 粉丝 0 关注私信	gzsmhf 5 楼搞定了，谢谢了 2010-3-30 16:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
fmicromath 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 62 粉丝 0 关注私信	fmicromath 2 楼 //kernel debug (win xp / win 2003 server) to see structures // then we can get file name according section object // ( EPROCESS-> ) SectionObject(_SECTION_OBJECT)->Segment(_SEGMENT)-> // ControlArea (_CONTROL_AREA)->FilePointer( _FILE_OBJECT) /* nt!_SECTION_OBJECT ... +0x014 Segment : Ptr32 _SEGMENT_OBJECT note: _SEGMENT_OBJECT seemed to be _SEGMENT in fact !!! and use Segment as _SEGMENT can success lkd> DT _SEGMENT nt!_SEGMENT +0x000 ControlArea : Ptr32 _CONTROL_AREA ... lkd> DT _CONTROL_AREA nt!_CONTROL_AREA ... +0x024 FilePointer : Ptr32 _FILE_OBJECT ... */ 2010-3-28 20:53 0
gzsmhf 雪币： 247 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 154 粉丝 0 关注私信	gzsmhf 3 楼 lkd> dt _SECTION_OBJECT nt!_SECTION_OBJECT +0x000 StartingVa : Ptr32 Void +0x004 EndingVa : Ptr32 Void +0x008 Parent : Ptr32 Void +0x00c LeftChild : Ptr32 Void +0x010 RightChild : Ptr32 Void +0x014 Segment : Ptr32 _SEGMENT_OBJECT 你的意思是windbg写错了，应该是_SEGMENT？ 2010-3-29 14:47 0
fmicromath 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 62 粉丝 0 关注私信	fmicromath 4 楼嗯~~~~~~~~~~~~~~~ 2010-3-29 23:52 0
gzsmhf 雪币： 247 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 154 粉丝 0 关注私信	gzsmhf 5 楼搞定了，谢谢了 2010-3-30 16:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复