能力值:
( LV3,RANK:20 )
|
-
-
2 楼
ntStatus=NtQuerySection(*SectionHandle,
SectionImageInformation,
&ImageInformation,
sizeof(SECTION_IMAGE_INFORMATION),
NULL
);
if (!(ImageInformation.GpValue & ~0x80000000 & IMAGE_FILE_DLL))
{
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
你的意思是排除掉dll, sys等吧? 我早已排除了, 我是说仅仅是exe 就被 NtCreateSection 了好几次
|
能力值:
( LV3,RANK:20 )
|
-
-
4 楼
你自己试了就知道了
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
还是有问题, 比如我运行firefox, 记录到如下:
explorer.exe:1724:[syswatch!DtrNtCreateSection]D:\Program Files\Mozilla Firefox\firefox.exe
[syswatch!DtrNtCreateProcessEx]D:\Program Files\Mozilla Firefox\firefox.exe
firefox.exe:352:[syswatch!DtrNtCreateSection]D:\Program Files\Mozilla Firefox\firefox.exe
就是说先由 进程创建者 NtCreateSection , 然后 NtCreateProcessEx, 然后被创建进程又一次NtCreateSection 了它自己
|
能力值:
( LV3,RANK:20 )
|
-
-
6 楼
只是某些程序吧
firefox.exe:352:[syswatch!DtrNtCreateSection]D:\Program Files\Mozilla Firefox\firefox.exe
这估计是自己影射造成的。在NtCreateProcessEx后系统就不会再NtCreateSection,也就是说在调用完成CreateProcessInternalW后再调用NtCreateSection应该是EXE文件自己
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
那有没有判断 “自己影射“ 的情况的方法?
|
能力值:
( LV3,RANK:20 )
|
-
-
8 楼
发起进程不同啊
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
也有进程自己再运行一个自己的实例啊
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
确实有这样的现象
我的处理方式就是把重复的显示上面去掉
等待高人回答
|
能力值:
( LV9,RANK:260 )
|
-
-
11 楼
PsGetCurrentProcess,然后判断一下
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
..................
|
能力值:
( LV12,RANK:420 )
|
-
-
13 楼
光拦截ntcreatesection 是不行的,系统创建进程时有时候会checkbintype,会用一样的权限去create section的
|
|
|