能力值:
( LV4,RANK:50 )
|
-
-
2 楼
能不能设置关于打开某一类型文件的钩子?然后如果是你要监控的进程调用的就记录下来?
|
能力值:
( LV11,RANK:190 )
|
-
-
3 楼
PEB->RTL_USER_PROCESS_PARAMETERS->CommandLine
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
枚举这个进程的文件句柄即可
|
能力值:
( LV3,RANK:30 )
|
-
-
5 楼
WINWORD.EXE中得到“X:\XX\XXX.docx”
简单HOOK 目标进程 LoadLibraryA
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
感谢大家的回复。PEB之前试过,没调试成功,我再试试。钩子应该可以,但为什么是HOOK LoadLibrary,而不是CreateFile、CreateMapFile之类?还有,枚举进程中的句柄可以,如何进一步枚举文件句柄?除了主进程句柄外,枚举出来的都是“……ntdll.dll”这些,找不到所要的文件句柄啊。肿麽办? 
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
看看支持你 
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
谢谢你的鼓励和支持
|
能力值:
( LV4,RANK:50 )
|
-
-
9 楼
1:ZwQuerySystemInformation SystemHandleInformation得到进程打开的句柄
2:ZwQueryObject根据句柄得到文件名称
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
调了好几天了 没有预期的结果 有点想用驱动做了 有点担心 驱动太难调试了
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
这基本不可行。一个程序可以打开一个文件读取后就closehandle,这时间可能很长也可能读完就close ,自己写个小程序试试
|
能力值:
( LV12,RANK:310 )
|
-
-
12 楼
枚举进程打开的文件句柄,然后: http://msdn.microsoft.com/en-us/library/aa366789%28VS.85%29.aspx
|
能力值:
( LV4,RANK:50 )
|
-
-
13 楼
如果是winword可以dde hook
|
能力值:
( LV4,RANK:50 )
|
-
-
14 楼
如果是在shellcode中还是用暴力穷举句柄然后比较大小吧.或者用ZwQueryVirtualMemory
不知道你具体的目的,总之办法n多
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
由于忙于其它事 没来看回复 感谢大家的热心帮助 我会尽快搞定
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
wmic>process
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
这是对的..根据文件句柄进行枚举..对于OFFICE来说是可以用的..因为OFFICE在操作文档后会一直有这个文件的句柄信息..可以通过procexp.exe程序来看..
另外得看你想做什么功能了.
你可以通过HOOK CreateFileW函数来对你关心的文件保存,等你需要用的时候,再从里面找..
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
其实 我只是想从运行的WINWORD.EXE中知道其打开了哪些个文档(如果存在已打开的文档的话) 并对该文档进行操作控制 zw*这样的驱动级函数到现在也没实现 能力有限啊 寒假充下电先
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
不用那么深吧。。。
用NTQuerySystemInformation
NTQueryObject 也是可以取得进程信息的。当然也包括了 所有的句柄
|
能力值:
( LV2,RANK:10 )
|
-
-
20 楼
谢谢 NTQuerySystemInformation
NTQueryObject我试过 不过没成功 我的问题 等考完试 把她弄出来
|
|
|
|
