WIN7 64位，WIN8 64位在桌面双击某个程序比如IE，不会调用CreateProcess吗？-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (3)
杀手killerho 雪币： 358 活跃值： (99) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 102 粉丝 0 关注私信	杀手killerho 2 楼 NT，ZW开头的那些函数试试 2014-7-1 11:27 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 3 楼楼主还是好好学学方法，ring3调用这些函数肯定会过Zw系列的NativeAPI啊，跟创建进程有关的就三个，ZwCreateProcess,ZwCreateProcessEx,ZwCreateUserProcess，OD或者windbg附加一下Explorer.exe，然后在这三个函数下个断，随便双击个程序，肯定会中断下来，看看断在哪个函数，然后Alt+K(如果你用OD)或者kvn(如果你用windbg)看一下调用栈，一清二楚~ 64位系统如果用不了OD就用windbg吧 2014-7-1 12:10 0
wr960204 雪币： 126 活跃值： (169) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 76 粉丝 0 关注私信	wr960204 4 楼带User的 2014-7-1 22:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (3)
杀手killerho 雪币： 358 活跃值： (99) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 102 粉丝 0 关注私信	杀手killerho 2 楼 NT，ZW开头的那些函数试试 2014-7-1 11:27 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 3 楼楼主还是好好学学方法，ring3调用这些函数肯定会过Zw系列的NativeAPI啊，跟创建进程有关的就三个，ZwCreateProcess,ZwCreateProcessEx,ZwCreateUserProcess，OD或者windbg附加一下Explorer.exe，然后在这三个函数下个断，随便双击个程序，肯定会中断下来，看看断在哪个函数，然后Alt+K(如果你用OD)或者kvn(如果你用windbg)看一下调用栈，一清二楚~ 64位系统如果用不了OD就用windbg吧 2014-7-1 12:10 0
wr960204 雪币： 126 活跃值： (169) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 76 粉丝 0 关注私信	wr960204 4 楼带User的 2014-7-1 22:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复