[求助]hOOK ZwCreateUserProcess怎么获取新进程的PID-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (3)
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼 NTSTATUS NtCreateUserProcess( [COLOR="Red"][B]OUT PHANDLE ProcessHandle,[/B][/COLOR] OUT PHANDLE ThreadHandle, IN ACCESS_MASK ProcessDesiredAccess, IN ACCESS_MASK ThreadDesiredAccess, IN POBJECT_ATTRIBUTES ProcessObjectAttributes OPTIONAL, IN POBJECT_ATTRIBUTES ThreadObjectAttributes OPTIONAL, IN ULONG CreateProcessFlags, IN ULONG CreateThreadFlags, IN PRTL_USER_PROCESS_PARAMETERS ProcessParameters, IN PVOID Parameter9, IN PNT_PROC_THREAD_ATTRIBUTE_LIST AttributeList ); 第一个参数你看一下有句柄的话，ObRefrence一下得到对象，然后PsGetProcessId 2016-3-10 13:35 0
赵建新雪币： 8 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 156 回帖 410 粉丝 1 关注私信	赵建新 3 楼感谢用ZwQueryInformationProcess解决了，刚搜到你回复的解除文件占用那个正好用的着，试试谢谢 2016-3-15 01:06 0
赵建新雪币： 8 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 156 回帖 410 粉丝 1 关注私信	赵建新 4 楼在新函数联级注入DLL，创建线程一直失败错误8。我想是要等子进程初始化完成了，才能注入。如何让它初始化完成并挂起，等待我注入。 2016-3-16 02:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (3)
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼 NTSTATUS NtCreateUserProcess( [COLOR="Red"][B]OUT PHANDLE ProcessHandle,[/B][/COLOR] OUT PHANDLE ThreadHandle, IN ACCESS_MASK ProcessDesiredAccess, IN ACCESS_MASK ThreadDesiredAccess, IN POBJECT_ATTRIBUTES ProcessObjectAttributes OPTIONAL, IN POBJECT_ATTRIBUTES ThreadObjectAttributes OPTIONAL, IN ULONG CreateProcessFlags, IN ULONG CreateThreadFlags, IN PRTL_USER_PROCESS_PARAMETERS ProcessParameters, IN PVOID Parameter9, IN PNT_PROC_THREAD_ATTRIBUTE_LIST AttributeList ); 第一个参数你看一下有句柄的话，ObRefrence一下得到对象，然后PsGetProcessId 2016-3-10 13:35 0
赵建新雪币： 8 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 156 回帖 410 粉丝 1 关注私信	赵建新 3 楼感谢用ZwQueryInformationProcess解决了，刚搜到你回复的解除文件占用那个正好用的着，试试谢谢 2016-3-15 01:06 0
赵建新雪币： 8 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 156 回帖 410 粉丝 1 关注私信	赵建新 4 楼在新函数联级注入DLL，创建线程一直失败错误8。我想是要等子进程初始化完成了，才能注入。如何让它初始化完成并挂起，等待我注入。 2016-3-16 02:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复