在Windows内核情景分析一文中 有原文
段落引用 KTHREAD结构成分中ApcState内部的指针Process就指向当前进程的EPROCESS结构.KTHREAD结构中本来就有个指针也叫做Process,这是个KPROCESS指针,那么为什么要用ApcState内部的指针Process呢?这是因为考虑到进程挂靠.
这段是不是可以认为在内核中使用KiAttachProcess挂靠到某进程时ApcState内部的Process会被更改为挂靠到进程的EPROCESS 而ETHREAD的Process指针还是指向原来的Process呢? 如果这样的话是不是可以通过这样的方式去检测别人搞自己
[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》,视频+靶场+题目!助力进入CTF世界
不吃麻婆豆腐 是的 插APC检测
