首页
社区
课程
招聘
[求助]x64 ring0 拦截服务创建如何获取真实的源进程
发表于: 2017-8-16 10:49 3627

[求助]x64 ring0 拦截服务创建如何获取真实的源进程

2017-8-16 10:49
3627
x64 ring0 下用CmRegisterCallback拦截服务创建时候对注册表的操作,可以顺利拦截到,但是当获取操作源进程(PsGetCurrentProcessId)的时候都是services.exe,如何获取真实的操作源进程?望做过的前辈指点一二,不胜感激。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (3)
雪    币: 12848
活跃值: (9142)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
2
创建服务本来就是别的进程发起RPC请求,让services.exe去干脏活的
发起RPC的进程都不需要提权SeDebugPrivilege和SeLoadDriverPrivilege
想hook真正的发起者,你需要hook  RPC相关的的ntapi,似乎是NtXXXPort系列的
2017-8-16 11:01
0
雪    币: 17
活跃值: (27)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
hzqst 创建服务本来就是别的进程发起RPC请求,让services.exe去干脏活的 发起RPC的进程都不需要提权SeDebugPrivilege和SeLoadDriverPrivilege 想hook真 ...
那就只能在ring3  hook了,单在ring0搞不定了
2017-8-16 11:09
0
雪    币: 12848
活跃值: (9142)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
4
tojen 那就只能在ring3 hook了,单在ring0搞不定了
http://bbs.pediy.com/thread-194576.htm  看这个吧
2017-8-16 11:20
0
游客
登录 | 注册 方可回帖
返回
//