[讨论]当被注入进程先于注入进程退出时,卸载钩子还有必要么？-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (3)
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 2 楼 CloseHandle进入内核后调用到ObfDereferenceObject，这样才会减少Object的引用计数。比如你OpenProcess访问一个进程（之后注入等），最后TerminateProcess之，那么最后还是要把这个句柄CloseHandle的。如果不CloseHandle，表面看没有问题（进程的确结束了），但是在内核中其进程对象（EPROCESS）的引用计数应该还非0，所以没释放掉。只有CloseHandle了之后，系统才最终将它释放掉。 2008-4-29 01:00 0
wzy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 19 粉丝 0 关注私信	wzy 3 楼哦这样，学习 2008-5-9 14:31 0
HereInSide 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	HereInSide 4 楼卸载动作不必要。至于之前的openproc等全局性（指的是krnl中有全局效果，比如增加对象引用计数的）的操作，无论如何都是得closehdl的 2008-5-9 20:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (3)
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 2 楼 CloseHandle进入内核后调用到ObfDereferenceObject，这样才会减少Object的引用计数。比如你OpenProcess访问一个进程（之后注入等），最后TerminateProcess之，那么最后还是要把这个句柄CloseHandle的。如果不CloseHandle，表面看没有问题（进程的确结束了），但是在内核中其进程对象（EPROCESS）的引用计数应该还非0，所以没释放掉。只有CloseHandle了之后，系统才最终将它释放掉。 2008-4-29 01:00 0
wzy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 19 粉丝 0 关注私信	wzy 3 楼哦这样，学习 2008-5-9 14:31 0
HereInSide 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	HereInSide 4 楼卸载动作不必要。至于之前的openproc等全局性（指的是krnl中有全局效果，比如增加对象引用计数的）的操作，无论如何都是得closehdl的 2008-5-9 20:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复