能力值:
( LV9,RANK:850 )
|
-
-
2 楼
1.判断不了
2.要获取一个进程的子进程的名柄,可以反过来做,通过遍历所有进程,NtQueryInformationProcess去获取其父进程句柄,然后判断是否为目标父进程,如果是的话就认为本进程是该父进程的子进程,从而获得该父进程的子进程句柄
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
谢谢大菜1号
这个好像比较难哦 好像有点明白了。。。
|
能力值:
(RANK:260 )
|
-
-
4 楼
看情况。想一些“非常规”的方法,似乎可以一定程度上达到目的,比如用Debug API来拦截对CreateProcess函数的调用,然后获取子进程的程序路径。
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
版主说的hook吗?
hook我想过,不过对我来说更难实现
00401B21 . 68 E3344000 push 4034E3 ; /pOldProtect = test.004034E3 00401B26 . 6A 40 push 40 ; |NewProtect = PAGE_EXECUTE_READWRITE 00401B28 . 6A 02 push 2 ; |Size = 2 00401B2A . FF35 C0254000 push dword ptr ds:[4025C0] ; |Address = 004E523B 00401B30 . FF35 1C394000 push dword ptr ds:[40391C] ; |hProcess = 00000118 (window) 00401B36 . E8 3DFFFFFF call 00401A78 ; \VirtualProtectEx
上面的 hProcess = 00000118 (window) 是什么意思?是句柄吗?后面为什么带个window?
问题好多啊
|
|
|