-
-
[求助]内核中拦截进程传入的commandline
-
发表于:
2014-3-28 22:05
6725
-
[求助]内核中拦截进程传入的commandline
只看XP下的
commandline存在_PEB这个结构里面
_PEB->ProcessParameters->CommandLine
本来想在hook ZwCreateProcessEx
拦截的 发现这个函数只初始化了PEB而已,并没有初始化ProcessParameters
去看了一下ReactOS
发现是这样的
CreateProcessW -> CreateProcessInternalW -> NtCreateProcess ->BasePushProcessParameters(RtlCreateProcessParameters) ->BasepCreateFirstThread(NtCreateThread) ->NtResumeThread
到了BasePushProcessParameters才把用户的参数写入PEB
最后用PsSetCreateProcessNotifyRoutine调试发现也是 PEB 只初始化了一部分
我需要的并没有初始化
难道要勾住NtResumeThread吗?这个好像不太现实吧。进程无时无刻在创建线程呢。。。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课