-
-
[求助]挂起方式CreateProcess时系统已经完成了什么
-
发表于: 2020-9-27 22:46
-
楼主今天练习加密壳制作,课程中讲得步骤如下
在这里我在疑惑为什么不用贴dll,问了群里的大佬后知道了dll会在恢复进程后由系统贴进去
那么问题来了,在以挂起方式创建进程时,从开始调用CreateProcess到进程被挂起,系统到底已经完成了什么操作,还有什么操作是恢复后继续执行的.
比如 IAT 表是否在挂起前就已经绑定, 重定位表是否在挂起前就已修复,如果是恢复后执行的操作,是在恢复后重新读一遍ImageBuffer去取PE信息进行绑定修复等操作,还是在挂起前就已经读取了PE信息,只是还没开始进行操作
(因为如果是挂起前已经读了PE信息,那么贴进去的新PE数据就不会被读取,也就是说恢复后的操作仍按照原ImageBuffer中的pe信息进行操作,那么可能会出现问题)
以上问题询问群里大佬无果,论坛的各位大佬帮忙解释下~
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
