在Windows内核情景分析一文中 有原文
段落引用 KTHREAD结构成分中ApcState内部的指针Process就指向当前进程的EPROCESS结构.KTHREAD结构中本来就有个指针也叫做Process,这是个KPROCESS指针,那么为什么要用ApcState内部的指针Process呢?这是因为考虑到进程挂靠.
这段是不是可以认为在内核中使用KiAttachProcess挂靠到某进程时ApcState内部的Process会被更改为挂靠到进程的EPROCESS 而ETHREAD的Process指针还是指向原来的Process呢? 如果这样的话是不是可以通过这样的方式去检测别人搞自己
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
不吃麻婆豆腐 是的 插APC检测