[求助]HOOK NTCreateProcess后得到EXE文件名-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
vfer 雪币： 45 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 84 粉丝 0 关注私信	vfer 2 楼我想你在RING0都可以弄在RING3应该更简单的以前病毒使用的一种技术就可以了修改KERNEL32.dll文件的函数（好象是createprocess) 2007-4-18 21:45 0
默数悲伤雪币： 297 活跃值： (10) 能力值： ( LV9，RANK：250 ) 在线值：发帖 10 回帖 130 粉丝 0 关注私信	默数悲伤 6 3 楼不是会返回一个进程的Handle吗？有了这个，你还有什么得不到的？ 2007-4-19 13:11 0
langouster 雪币： 212 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 28 粉丝 0 关注私信	langouster 4 楼是的，要是等到它返回了，我的确能得到EXE的文件名，但我的目的是根据EXE名字有选择的运行，所以在想知道它的EXE文件名的时候还没有调用真正的 NTCreateProcess，此时该用什么方法得到啊。 2007-4-19 14:21 0
默数悲伤雪币： 297 活跃值： (10) 能力值： ( LV9，RANK：250 ) 在线值：发帖 10 回帖 130 粉丝 0 关注私信	默数悲伤 6 5 楼偶记得好像运行到这里的时候，内存已经分配完成，然后进程自身映像和ntdll.dll也都已经加载了，其他的dll都还没有加载。这时可以遍历进程空间，然后判断进程名字嘛。 2007-4-19 19:21 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 6 楼 KPROCESS里有,查查Native API 2007-4-19 20:26 0
langouster 雪币： 212 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 28 粉丝 0 关注私信	langouster 7 楼谢谢大家，已经解决了，用的是一个叫作GetMappedFileName的函数。 2007-4-19 21:48 0
chinatme 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 94 粉丝 0 关注私信	chinatme 8 楼老兄能不能说一下GetMappedFileName功能,这个东西你在什么地方找的? 2007-4-25 17:47 0
ghoster 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 5 粉丝 0 关注私信	ghoster 9 楼你应该不可能在RING0级下操作？ 2007-4-25 20:57 0
langouster 雪币： 212 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 28 粉丝 0 关注私信	langouster 10 楼 DWORD addr; char name[MAX_PATH]; int i; addr=(DWORD)MapViewOfFile(hSection,PAGE_READONLY,0,0,0); i=GetMappedFileName(GetCurrentProcess(),(LPVOID)addr,name,MAX_PATH); UnmapViewOfFile((LPVOID)addr); printf("%s \n",name); 2007-5-2 17:04 0
kagayaki 雪币： 1312 活跃值： (5169) 能力值： ( LV3，RANK：20 ) 在线值：发帖 174 回帖 1253 粉丝 25 关注私信	kagayaki 11 楼顶!!!!!!!!!!!! 2007-5-26 02:45 0
uzgw 雪币： 12 活跃值： (701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 1 关注私信	uzgw 12 楼 2022-7-7 14:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (11)
vfer 雪币： 45 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 84 粉丝 0 关注私信	vfer 2 楼我想你在RING0都可以弄在RING3应该更简单的以前病毒使用的一种技术就可以了修改KERNEL32.dll文件的函数（好象是createprocess) 2007-4-18 21:45 0
默数悲伤雪币： 297 活跃值： (10) 能力值： ( LV9，RANK：250 ) 在线值：发帖 10 回帖 130 粉丝 0 关注私信	默数悲伤 6 3 楼不是会返回一个进程的Handle吗？有了这个，你还有什么得不到的？ 2007-4-19 13:11 0
langouster 雪币： 212 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 28 粉丝 0 关注私信	langouster 4 楼是的，要是等到它返回了，我的确能得到EXE的文件名，但我的目的是根据EXE名字有选择的运行，所以在想知道它的EXE文件名的时候还没有调用真正的 NTCreateProcess，此时该用什么方法得到啊。 2007-4-19 14:21 0
默数悲伤雪币： 297 活跃值： (10) 能力值： ( LV9，RANK：250 ) 在线值：发帖 10 回帖 130 粉丝 0 关注私信	默数悲伤 6 5 楼偶记得好像运行到这里的时候，内存已经分配完成，然后进程自身映像和ntdll.dll也都已经加载了，其他的dll都还没有加载。这时可以遍历进程空间，然后判断进程名字嘛。 2007-4-19 19:21 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 6 楼 KPROCESS里有,查查Native API 2007-4-19 20:26 0
langouster 雪币： 212 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 28 粉丝 0 关注私信	langouster 7 楼谢谢大家，已经解决了，用的是一个叫作GetMappedFileName的函数。 2007-4-19 21:48 0
chinatme 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 94 粉丝 0 关注私信	chinatme 8 楼老兄能不能说一下GetMappedFileName功能,这个东西你在什么地方找的? 2007-4-25 17:47 0
ghoster 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 5 粉丝 0 关注私信	ghoster 9 楼你应该不可能在RING0级下操作？ 2007-4-25 20:57 0
langouster 雪币： 212 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 28 粉丝 0 关注私信	langouster 10 楼 DWORD addr; char name[MAX_PATH]; int i; addr=(DWORD)MapViewOfFile(hSection,PAGE_READONLY,0,0,0); i=GetMappedFileName(GetCurrentProcess(),(LPVOID)addr,name,MAX_PATH); UnmapViewOfFile((LPVOID)addr); printf("%s \n",name); 2007-5-2 17:04 0
kagayaki 雪币： 1312 活跃值： (5169) 能力值： ( LV3，RANK：20 ) 在线值：发帖 174 回帖 1253 粉丝 25 关注私信	kagayaki 11 楼顶!!!!!!!!!!!! 2007-5-26 02:45 0
uzgw 雪币： 12 活跃值： (701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 1 关注私信	uzgw 12 楼 2022-7-7 14:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复