Ring3 下 NT5.x 监视进程创建，Hook 哪个函数更合理？-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
暗月之魂雪币： 53 活跃值： (523) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 134 粉丝 0 关注私信	暗月之魂 2 楼 ZwQueryObject 2016-7-31 17:12 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 2 关注私信	exediy 1 3 楼 PsSetCreateProcessNotifyRoutine 2016-7-31 18:30 0
nmgwddj 雪币： 69 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 63 粉丝 0 关注私信	nmgwddj 4 楼感谢两位回答，我明天再试试效果。 2016-8-1 01:02 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 6 楼 NtCreateSection 频率很高判断也并不通用并不是一个很好的HOOK点如果你只要2K XP 2K3 下的话我记得 ntcreatethread 好像是个不错的点进程运行环境已经创建完毕线程还没有运行起来取路径很容易且不用担心被修改。而且还可以很轻易分辨是创建进程还是远程线程可惜这个方便的函数在VISTA后就被彻底放弃了 VISTA创建线程转为 ntcreatethreadex 而且创建进程已经不再经过ntcreatethreadex 直接由ntcreateuserprocess 全程实现 2016-8-17 17:06 0
nmgwddj 雪币： 69 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 63 粉丝 0 关注私信	nmgwddj 7 楼非常感谢您的回复，这几天我已经向内核方向学习来解决我遇到的问题了。我使用了微软提供的回调 PsSetCreateProcessNotifyRoutineEx PsSetCreateProcessNotifyRoutine 他们功能完善，传递参数完整，有足够的我需要的信息。感谢楼上所有人的帮助。 2016-8-19 10:00 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 8 楼驱动的话用 PsSetCreateProcessNotifyRoutine 来监控进程的创建的确更简单也更稳定这个点跟createthread类似也是进程运行环境刚刚创建完毕但线程还没有起来所有信息都是可靠的不过要注意带EX那个函数有些nt5系统可能没有 2016-8-19 10:12 0
nmgwddj 雪币： 69 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 63 粉丝 0 关注私信	nmgwddj 9 楼是的，我觉得 PsSetCreateProcessNotifyRoutine 已经够用了，我只希望捕获进程的创建信息，这足够了，谢谢您的帮助。 2016-8-19 10:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
暗月之魂雪币： 53 活跃值： (523) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 134 粉丝 0 关注私信	暗月之魂 2 楼 ZwQueryObject 2016-7-31 17:12 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 2 关注私信	exediy 1 3 楼 PsSetCreateProcessNotifyRoutine 2016-7-31 18:30 0
nmgwddj 雪币： 69 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 63 粉丝 0 关注私信	nmgwddj 4 楼感谢两位回答，我明天再试试效果。 2016-8-1 01:02 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 6 楼 NtCreateSection 频率很高判断也并不通用并不是一个很好的HOOK点如果你只要2K XP 2K3 下的话我记得 ntcreatethread 好像是个不错的点进程运行环境已经创建完毕线程还没有运行起来取路径很容易且不用担心被修改。而且还可以很轻易分辨是创建进程还是远程线程可惜这个方便的函数在VISTA后就被彻底放弃了 VISTA创建线程转为 ntcreatethreadex 而且创建进程已经不再经过ntcreatethreadex 直接由ntcreateuserprocess 全程实现 2016-8-17 17:06 0
nmgwddj 雪币： 69 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 63 粉丝 0 关注私信	nmgwddj 7 楼非常感谢您的回复，这几天我已经向内核方向学习来解决我遇到的问题了。我使用了微软提供的回调 PsSetCreateProcessNotifyRoutineEx PsSetCreateProcessNotifyRoutine 他们功能完善，传递参数完整，有足够的我需要的信息。感谢楼上所有人的帮助。 2016-8-19 10:00 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 8 楼驱动的话用 PsSetCreateProcessNotifyRoutine 来监控进程的创建的确更简单也更稳定这个点跟createthread类似也是进程运行环境刚刚创建完毕但线程还没有起来所有信息都是可靠的不过要注意带EX那个函数有些nt5系统可能没有 2016-8-19 10:12 0
nmgwddj 雪币： 69 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 63 粉丝 0 关注私信	nmgwddj 9 楼是的，我觉得 PsSetCreateProcessNotifyRoutine 已经够用了，我只希望捕获进程的创建信息，这足够了，谢谢您的帮助。 2016-8-19 10:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复