[求助]想hook程序的子进程创建，怎么处理WinExec这类函数-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
mty 雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 29 粉丝 0 关注私信	mty 2 楼我用apimonitor跑了一下程序，发现WinExec调用了NtCreateUserProcess，调用堆栈里有CreateProcessA，但是Api监控里没有捕获到，看样子不是直接调用CreateProcessA,而是从中间执行的？上传的附件：捕获.PNG （11.96kb，4次下载） 2016-10-23 15:07 0
蚯蚓降龙雪币： 4928 活跃值： (967) 能力值： ( LV9，RANK：175 ) 在线值：发帖 3 回帖 248 粉丝 3 关注私信	蚯蚓降龙 3 楼 WinExec会调用CreateProcessA，这个你跟一下就知道了。 R3还有这几个更底层点的几个选择 777DEB0C ZwCreateProcessEx 777DEB20 ZwCreateProcess 777DE9E0 ZwCreateUserProcess 2016-10-23 19:15 0
MaMy 雪币： 12 活跃值： (388) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 4 楼 Hook ntdll.dll里面的ZwCreateSection 进程创建必须走这个 CreateProcess流程太多大概是 st=NtOpenFile(...); st=NtCreateSection(...); st=NtCreateProcessEx(...); st=NtCreateThread(...); .... 2016-10-24 09:42 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 5 楼 ZwCreateSection 不好判断且系统调用非常频繁并不是一个合适的点 2016-10-24 13:23 0
yeyeshun 雪币： 488 活跃值： (3149) 能力值： ( LV7，RANK：140 ) 在线值：发帖 12 回帖 398 粉丝 14 关注私信	yeyeshun 2 6 楼 hook WinExec和ShellExecute，跳掉这两个函数实现，在hook代码中获取相关参数自己用CreateProcess创建进程 :) 2016-10-24 20:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
mty 雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 29 粉丝 0 关注私信	mty 2 楼我用apimonitor跑了一下程序，发现WinExec调用了NtCreateUserProcess，调用堆栈里有CreateProcessA，但是Api监控里没有捕获到，看样子不是直接调用CreateProcessA,而是从中间执行的？上传的附件：捕获.PNG （11.96kb，4次下载） 2016-10-23 15:07 0
蚯蚓降龙雪币： 4928 活跃值： (967) 能力值： ( LV9，RANK：175 ) 在线值：发帖 3 回帖 248 粉丝 3 关注私信	蚯蚓降龙 3 楼 WinExec会调用CreateProcessA，这个你跟一下就知道了。 R3还有这几个更底层点的几个选择 777DEB0C ZwCreateProcessEx 777DEB20 ZwCreateProcess 777DE9E0 ZwCreateUserProcess 2016-10-23 19:15 0
MaMy 雪币： 12 活跃值： (388) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 4 楼 Hook ntdll.dll里面的ZwCreateSection 进程创建必须走这个 CreateProcess流程太多大概是 st=NtOpenFile(...); st=NtCreateSection(...); st=NtCreateProcessEx(...); st=NtCreateThread(...); .... 2016-10-24 09:42 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 5 楼 ZwCreateSection 不好判断且系统调用非常频繁并不是一个合适的点 2016-10-24 13:23 0
yeyeshun 雪币： 488 活跃值： (3149) 能力值： ( LV7，RANK：140 ) 在线值：发帖 12 回帖 398 粉丝 14 关注私信	yeyeshun 2 6 楼 hook WinExec和ShellExecute，跳掉这两个函数实现，在hook代码中获取相关参数自己用CreateProcess创建进程 :) 2016-10-24 20:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复