[求助]HOOK ZWCreateprocess 如何获得启动参数？-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (3)
RootSuLe 雪币： 601 活跃值： (256) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 344 粉丝 4 关注私信	RootSuLe 4 2 楼返回的时候,如果成功,从peb的ProcessParameters域里取 2013-7-12 12:23 0
北飞雪币： 141 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 15 粉丝 0 关注私信	北飞 3 楼首先感谢您的指点。是这样的，我就是想实现个简单的类似主动防御一样的小工具，拦截进程启动，通知用户，由用户来决定是否放行，问题是我现在HOOK了ZWCreateprocess，在用户决定是否放行之前进程还没有创建完成，也就不会有返回值，也不会有相应的PEB等结构，我想在通知用户有进程启动时连同启动目录和启动参数一块通知给用户。在进程还没有启动完成时，有没有别的方法获取启动参数呢。 2013-7-12 14:55 0
xiaohaov 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 50 粉丝 0 关注私信	xiaohaov 4 楼同学可以把进程先挂起CREATE_SUSPENDED,执行结束检测PEB中的参. typedef struct _PROCESS_BASIC_INFORMATION { PVOID Reserved1; PPEB PebBaseAddress; PVOID Reserved2[2]; ULONG_PTR UniqueProcessId; PVOID Reserved3; } PROCESS_BASIC_INFORMATION; 中得到.这样就可以得到命令行了.然后在判断是否需要恢复. 2013-7-16 10:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (3)
RootSuLe 雪币： 601 活跃值： (256) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 344 粉丝 4 关注私信	RootSuLe 4 2 楼返回的时候,如果成功,从peb的ProcessParameters域里取 2013-7-12 12:23 0
北飞雪币： 141 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 15 粉丝 0 关注私信	北飞 3 楼首先感谢您的指点。是这样的，我就是想实现个简单的类似主动防御一样的小工具，拦截进程启动，通知用户，由用户来决定是否放行，问题是我现在HOOK了ZWCreateprocess，在用户决定是否放行之前进程还没有创建完成，也就不会有返回值，也不会有相应的PEB等结构，我想在通知用户有进程启动时连同启动目录和启动参数一块通知给用户。在进程还没有启动完成时，有没有别的方法获取启动参数呢。 2013-7-12 14:55 0
xiaohaov 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 50 粉丝 0 关注私信	xiaohaov 4 楼同学可以把进程先挂起CREATE_SUSPENDED,执行结束检测PEB中的参. typedef struct _PROCESS_BASIC_INFORMATION { PVOID Reserved1; PPEB PebBaseAddress; PVOID Reserved2[2]; ULONG_PTR UniqueProcessId; PVOID Reserved3; } PROCESS_BASIC_INFORMATION; 中得到.这样就可以得到命令行了.然后在判断是否需要恢复. 2013-7-16 10:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复