[求助]x64 ring0 拦截服务创建如何获取真实的源进程-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (3)
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 2 楼创建服务本来就是别的进程发起RPC请求，让services.exe去干脏活的发起RPC的进程都不需要提权SeDebugPrivilege和SeLoadDriverPrivilege 想hook真正的发起者，你需要hook RPC相关的的ntapi，似乎是NtXXXPort系列的 2017-8-16 11:01 0
tojen 雪币： 17 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 17 粉丝 0 关注私信	tojen 3 楼 hzqst 创建服务本来就是别的进程发起RPC请求，让services.exe去干脏活的发起RPC的进程都不需要提权SeDebugPrivilege和SeLoadDriverPrivilege 想hook真 ... 那就只能在ring3 hook了，单在ring0搞不定了 2017-8-16 11:09 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 4 楼 tojen 那就只能在ring3 hook了，单在ring0搞不定了 http://bbs.pediy.com/thread-194576.htm 看这个吧 2017-8-16 11:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (3)
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 2 楼创建服务本来就是别的进程发起RPC请求，让services.exe去干脏活的发起RPC的进程都不需要提权SeDebugPrivilege和SeLoadDriverPrivilege 想hook真正的发起者，你需要hook RPC相关的的ntapi，似乎是NtXXXPort系列的 2017-8-16 11:01 0
tojen 雪币： 17 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 17 粉丝 0 关注私信	tojen 3 楼 hzqst 创建服务本来就是别的进程发起RPC请求，让services.exe去干脏活的发起RPC的进程都不需要提权SeDebugPrivilege和SeLoadDriverPrivilege 想hook真 ... 那就只能在ring3 hook了，单在ring0搞不定了 2017-8-16 11:09 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 4 楼 tojen 那就只能在ring3 hook了，单在ring0搞不定了 http://bbs.pediy.com/thread-194576.htm 看这个吧 2017-8-16 11:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复