[原创]64位CreateProcess逆向:（四）创建进程的过程-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]64位CreateProcess逆向:（四）创建进程的过程

发表于: 2016-3-18 00:26 11841

[原创]64位CreateProcess逆向:（四）创建进程的过程

NearJMP

2016-3-18 00:26

11841

PspAllocateProcess的函数原型如下：
NTSTATS PspAllocateProcess( 
        //父进程内核对象指针
        IN PEPROCESS pParentEProcess,  
        //访问模式，表明调用来自用户态，还是内核态
        IN  KPROCESSOR_MODE AccessMode,
        //新进程对象安全属性    
        IN POBJECT_ATTRIBUTES pProcessObjectAttributes,
        //新进程的内存区对象句柄, 代表进程的映像文件
        IN HANDLE SectionObject,  
        //令牌对象句柄
        IN HANDLE hSeTokenObject, 
        //进程标识符
        OUT PVOID  pProcessFlags, 
        //传入传出结构体指针, 存放进程创建过程中一些句柄 内核对象, 大小0xC4
        IN OUT CREATEPROCESSCONTEXT *pCreateProcessContext,  
        IN PVOID  pUnKnow,
        //如果成功创建新进程的EProcess , 则从这里传出PEprocess    
        OUT PPEPROCESS ppNewEprocess 
);

nt!_KPROCESS
   +0x000 Header           : _DISPATCHER_HEADER
   +0x018 ProfileListHead  : _LIST_ENTRY
   +0x028 DirectoryTableBase : Uint8B
   +0x030 ThreadListHead   : _LIST_ENTRY
   +0x040 ProcessLock      : Uint8B
   +0x048 Affinity         : _KAFFINITY_EX
   ...
   +0x15a LdtTableLength   : Uint2B

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#调试逆向

上传的附件：

1.png （35.78kb，1次下载）
2.png （36.47kb，1次下载）
3.png （11.50kb，3次下载）
4.png （6.12kb，1次下载）
5.png （28.51kb，1次下载）
6.png （9.21kb，1次下载）
7.png （10.52kb，2次下载）
8.png （9.59kb，1次下载）
9.png （11.21kb，1次下载）
10.png （10.51kb，1次下载）
11.png （10.34kb，1次下载）
12.png （35.35kb，1次下载）
13.png （4.15kb，1次下载）
14.png （14.62kb，1次下载）
15.png （8.08kb，1次下载）
16.png （31.49kb，1次下载）
17.png （8.29kb，1次下载）
18.png （4.97kb，1次下载）
19.png （8.07kb，1次下载）
20.png （4.99kb，2次下载）
21.png （7.54kb，2次下载）
PspAllocateProcess.png （52.08kb，49次下载）
创建进程的过程.doc （382.50kb，79次下载）
创建进程的过程.pdf （759.40kb，128次下载）
ntoskrnl.7z.001.rar （3.00MB，138次下载）
ntoskrnl.7z.002.rar （3.00MB，113次下载）
ntoskrnl.7z.003.rar （2.06MB，112次下载）

收藏・21

免费・3

支持

最新回复 (4)
myqqi 雪币： 324 活跃值： (60) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 161 粉丝 4 关注私信	myqqi 1 2 楼最近老是可以抢到沙发，先顶后看，学习学习 2016-3-18 08:12 0
SilentGamb 雪币： 112 活跃值： (57) 能力值： ( LV12，RANK：200 ) 在线值：发帖 37 回帖 214 粉丝 0 关注私信	SilentGamb 1 3 楼抢到板凳, 好文章一定要顶. 2016-3-18 18:49 0
xed 雪币： 129 活跃值： (333) 能力值： ( LV3，RANK：20 ) 在线值：发帖 17 回帖 215 粉丝 2 关注私信	xed 4 楼学习了。感谢楼主分享 2016-3-18 22:05 0
我是山里人雪币： 53 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 17 粉丝 0 关注私信	我是山里人 5 楼嗯，学习了。 2016-3-22 18:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

NearJMP

发帖

回帖

848

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (4)
myqqi 雪币： 324 活跃值： (60) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 161 粉丝 4 关注私信	myqqi 1 2 楼最近老是可以抢到沙发，先顶后看，学习学习 2016-3-18 08:12 0
SilentGamb 雪币： 112 活跃值： (57) 能力值： ( LV12，RANK：200 ) 在线值：发帖 37 回帖 214 粉丝 0 关注私信	SilentGamb 1 3 楼抢到板凳, 好文章一定要顶. 2016-3-18 18:49 0
xed 雪币： 129 活跃值： (333) 能力值： ( LV3，RANK：20 ) 在线值：发帖 17 回帖 215 粉丝 2 关注私信	xed 4 楼学习了。感谢楼主分享 2016-3-18 22:05 0
我是山里人雪币： 53 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 17 粉丝 0 关注私信	我是山里人 5 楼嗯，学习了。 2016-3-22 18:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复