[求助]dll中如何尽可能早的捕获宿主进程的退出时机-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
木瓜枫叶雪币： 459 活跃值： (344) 能力值： ( LV8，RANK：120 ) 在线值：发帖 22 回帖 515 粉丝 6 关注私信	木瓜枫叶 2 2 楼 HOOK 退出进程的API 不行么？ 2014-8-20 11:44 0
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 3 关注私信	人在塔在 3 楼挂了exitprocess但是发现还是不够早 2014-8-20 12:07 0
albeta 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 173 粉丝 0 关注私信	albeta 4 楼挂了exitprocess，然后栈回溯上去，挂钩上层的函数啊 2014-8-20 13:06 0
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 5 楼窗口程序还是控制台，窗口直接拦截消息 WM_CLOSE 2014-8-20 13:09 0
skypismire 雪币： 75 活跃值： (623) 能力值： ( LV6，RANK：90 ) 在线值：发帖 95 回帖 703 粉丝 1 关注私信	skypismire 1 6 楼按初始化的顺序调用 Next = Peb->Ldr->InInitializationOrderModuleList.Blink; while ( Next != &Peb->Ldr->InInitializationOrderModuleList) { LdrDataTableEntry = (PLDR_DATA_TABLE_ENTRY) (CONTAINING_RECORD(Next,LDR_DATA_TABLE_ENTRY,InInitializationOrderLinks)); Next = Next->Blink; // // Walk through the entire list looking for // entries. For each entry, that has an init // routine, call it. // if (Peb->ImageBaseAddress != LdrDataTableEntry->DllBase) { InitRoutine = (PDLL_INIT_ROUTINE)LdrDataTableEntry->EntryPoint; if (InitRoutine && (LdrDataTableEntry->Flags & LDRP_PROCESS_ATTACH_CALLED) ) { if (LdrDataTableEntry->Flags) { if ( LdrDataTableEntry->TlsIndex ) { LdrpCallTlsInitializers(LdrDataTableEntry->DllBase,DLL_PROCESS_DETACH); } #if defined (WX86) if (!Wx86ProcessInit \|\| LdrpRunWx86DllEntryPoint(InitRoutine, NULL, LdrDataTableEntry->DllBase, DLL_PROCESS_DETACH, (PVOID)1 ) == STATUS_IMAGE_MACHINE_TYPE_MISMATCH) #endif { LdrpCallInitRoutine(InitRoutine, LdrDataTableEntry->DllBase, DLL_PROCESS_DETACH, (PVOID)1); } } } } } 2014-8-25 19:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
木瓜枫叶雪币： 459 活跃值： (344) 能力值： ( LV8，RANK：120 ) 在线值：发帖 22 回帖 515 粉丝 6 关注私信	木瓜枫叶 2 2 楼 HOOK 退出进程的API 不行么？ 2014-8-20 11:44 0
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 3 关注私信	人在塔在 3 楼挂了exitprocess但是发现还是不够早 2014-8-20 12:07 0
albeta 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 173 粉丝 0 关注私信	albeta 4 楼挂了exitprocess，然后栈回溯上去，挂钩上层的函数啊 2014-8-20 13:06 0
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 5 楼窗口程序还是控制台，窗口直接拦截消息 WM_CLOSE 2014-8-20 13:09 0
skypismire 雪币： 75 活跃值： (623) 能力值： ( LV6，RANK：90 ) 在线值：发帖 95 回帖 703 粉丝 1 关注私信	skypismire 1 6 楼按初始化的顺序调用 Next = Peb->Ldr->InInitializationOrderModuleList.Blink; while ( Next != &Peb->Ldr->InInitializationOrderModuleList) { LdrDataTableEntry = (PLDR_DATA_TABLE_ENTRY) (CONTAINING_RECORD(Next,LDR_DATA_TABLE_ENTRY,InInitializationOrderLinks)); Next = Next->Blink; // // Walk through the entire list looking for // entries. For each entry, that has an init // routine, call it. // if (Peb->ImageBaseAddress != LdrDataTableEntry->DllBase) { InitRoutine = (PDLL_INIT_ROUTINE)LdrDataTableEntry->EntryPoint; if (InitRoutine && (LdrDataTableEntry->Flags & LDRP_PROCESS_ATTACH_CALLED) ) { if (LdrDataTableEntry->Flags) { if ( LdrDataTableEntry->TlsIndex ) { LdrpCallTlsInitializers(LdrDataTableEntry->DllBase,DLL_PROCESS_DETACH); } #if defined (WX86) if (!Wx86ProcessInit \|\| LdrpRunWx86DllEntryPoint(InitRoutine, NULL, LdrDataTableEntry->DllBase, DLL_PROCESS_DETACH, (PVOID)1 ) == STATUS_IMAGE_MACHINE_TYPE_MISMATCH) #endif { LdrpCallInitRoutine(InitRoutine, LdrDataTableEntry->DllBase, DLL_PROCESS_DETACH, (PVOID)1); } } } } } 2014-8-25 19:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复