[原创]科锐三阶段项目---CreateProcess流程分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]科锐三阶段项目---CreateProcess流程分析

发表于: 2010-6-5 16:59 65661

[原创]科锐三阶段项目---CreateProcess流程分析

pyq逍遥

活跃值

1

2010-6-5 16:59

65661

查看主题内容

收藏・171

免费・9

支持

分享

最新回复 (57) ◀ 1 2 3
denglifeng 雪币： 189 活跃值： (16) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 54 粉丝 0 关注私信	denglifeng 1 51 楼分析得很详细。比深入解析Window操作系统介绍的CreateProcess过程更加详细和具体。 2012-5-8 10:32 0
bithaha 雪币： 1505 能力值： (RANK：210 ) 在线值：发帖 66 回帖 933 粉丝 4 关注私信	bithaha 5 52 楼楼主分析的不错. 给楼主的楼填一转头: 接着调用了BasepSxsCreateProcessCsrMessage函数，该函数的具体作用不是很清楚 BasepSxsCreateProcessCsrMessage在win32系统中,是从共享堆中申请内存,然后把sxs信息写进去,然后会在下面把这个消息(传递的是指针)传递给csrss(x64 wow中不是在共享堆),(sxs是什么搜索side-by-side assembly,可以理解为程序的mainifest). 一般写简单的createprocess demo(比如创建记事本,很多代码可以a)的时候会感觉这东西是没用的,但如果不把这个消息传递给csrss,创建带有mainifest的程序是会"应用程序初始化失败". 整个CreateProcess从ring3到ring0最复杂的一块就是与CSRSS的通信,主要原因是有些结构从任何地方都找不到完整的代码和文档可以a,各个系统都稍有不同,而且要做点手段才能调试. 2012-5-9 23:44 0
时光x 雪币： 107 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 20 粉丝 0 关注私信	时光x 53 楼 LZ有钱银啊，感觉培训费好贵啊（当然相比那么多培训内容就不算贵了），想去去不起，还是自学吧。 2012-5-10 00:00 0
StartAoA 雪币： 71 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 163 粉丝 0 关注私信	StartAoA 54 楼科锐的钱大牛可不是徒有虚名的！！！ 2012-5-12 14:59 0
kagayaki 雪币： 1335 活跃值： (5190) 能力值： ( LV3，RANK：20 ) 在线值：发帖 174 回帖 1253 粉丝 25 关注私信	kagayaki 55 楼收藏............... 2012-5-13 15:11 0
gtict 雪币： 272 活跃值： (3258) 能力值： ( LV3，RANK：30 ) 在线值：发帖 24 回帖 510 粉丝 6 关注私信	gtict 56 楼好东西...... 2012-6-20 17:27 0
sunlulu 雪币： 20 活跃值： (99) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 104 粉丝 0 关注私信	sunlulu 1 57 楼强悍啊~~~~~~ 2012-6-20 22:49 0
junlinsky 雪币： 204 活跃值： (69) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 93 粉丝 0 关注私信	junlinsky 58 楼不错，不知道我何时才能达到这样的水平...继续努力 2012-6-25 01:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

pyq逍遥

发帖

回帖

RANK

他的文章

[原创]科锐三阶段项目---CreateProcess流程分析 65661

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

//