[求助]拦截进程启动的一点疑问-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
tufuzi 雪币： 159 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 79 粉丝 0 关注私信	tufuzi 2 楼 http://bbs.pediy.com/showthread.php?t=65772 看看这个应该有所帮助 2009-8-26 20:38 0
lovebubble 雪币： 245 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 72 粉丝 0 关注私信	lovebubble 3 楼你好，看了您说的贴子，感觉跟我说的是一个贴子。NtCreateSection（）这个函数，可以拦到，但它只能得到exe文件的相关信息和阻止进程继续形成。而无法得到进程id，因为在这个函数调用后，再由NtCreateProcess形成相关内核结构。谢谢你啊。但我的问题还是未解决完全。 2009-8-26 21:01 0
leftup 雪币： 251 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 269 粉丝 1 关注私信	leftup 4 楼貌似是老外在说梦话 2009-8-26 21:54 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 5 楼 2000:NtCreateProcess xp:NtCreateProcessEx vista/win7/2008:NtCreateUserProcess 2009-8-26 22:31 0
leftup 雪币： 251 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 269 粉丝 1 关注私信	leftup 6 楼看来是我孤陋寡闻了 2009-8-26 23:44 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 7 楼这个老外貌似想的太简单了。 2009-8-27 12:07 0
lovebubble 雪币： 245 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 72 粉丝 0 关注私信	lovebubble 8 楼我也有类似感觉，但由于是新手不太肯定，也见过一些程序是用此函数拦的。《深入解析windows操作系统第4版》潘爱民译，这本书第6章（P304）有讲进程创建，其中阶段2就是调用NtCreateProcess()来创建一个进程对像。P300页还第二段还提到了CreateProcess（还有CreateProcessAsUser,CreateProcessWithTokenW,CreateProcessWithLogon等）函数，加上304页提到的NtCreateProcess（）很是疑惑。《Windows NT 2000 Native API Reference》中有一句关于ZwCreateProcess()的：The process created does not contain any threads.说明此函数真只是创建了进程内核对象。还有一句是：Related Win32 Functions： CreateProcess, CreateProcessAsUser.说明，CreateProcess 函数确实跟 ZwCreateProcess()（NtCreateProcess()）有关啊。如果，这两本书都是正确的话，那前面老外的话。。。呵呵。。还请大家指教。。 2009-8-27 12:37 0
lovebubble 雪币： 245 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 72 粉丝 0 关注私信	lovebubble 9 楼呵呵，多谢！！若是再多些汉字会更好 2009-8-27 12:38 0
lovebubble 雪币： 245 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 72 粉丝 0 关注私信	lovebubble 10 楼 - 2009-8-27 12:39 0
lovebubble 雪币： 245 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 72 粉丝 0 关注私信	lovebubble 11 楼呵呵，先谢谢支持。不过，能否再给些提示。。 2009-8-27 12:40 0
lovebubble 雪币： 245 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 72 粉丝 0 关注私信	lovebubble 12 楼 MJ大大，请问一下：假设NtCreateProcess成功返回，但若在挂钩(MyNtcreateProcess)中向上层返回失败，此时内核中的相关结构已经建成，这些结构怎么处理啊？谢谢！ 2010-7-20 17:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (11)
tufuzi 雪币： 159 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 79 粉丝 0 关注私信	tufuzi 2 楼 http://bbs.pediy.com/showthread.php?t=65772 看看这个应该有所帮助 2009-8-26 20:38 0
lovebubble 雪币： 245 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 72 粉丝 0 关注私信	lovebubble 3 楼你好，看了您说的贴子，感觉跟我说的是一个贴子。NtCreateSection（）这个函数，可以拦到，但它只能得到exe文件的相关信息和阻止进程继续形成。而无法得到进程id，因为在这个函数调用后，再由NtCreateProcess形成相关内核结构。谢谢你啊。但我的问题还是未解决完全。 2009-8-26 21:01 0
leftup 雪币： 251 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 269 粉丝 1 关注私信	leftup 4 楼貌似是老外在说梦话 2009-8-26 21:54 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 5 楼 2000:NtCreateProcess xp:NtCreateProcessEx vista/win7/2008:NtCreateUserProcess 2009-8-26 22:31 0
leftup 雪币： 251 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 269 粉丝 1 关注私信	leftup 6 楼看来是我孤陋寡闻了 2009-8-26 23:44 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 7 楼这个老外貌似想的太简单了。 2009-8-27 12:07 0
lovebubble 雪币： 245 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 72 粉丝 0 关注私信	lovebubble 8 楼我也有类似感觉，但由于是新手不太肯定，也见过一些程序是用此函数拦的。《深入解析windows操作系统第4版》潘爱民译，这本书第6章（P304）有讲进程创建，其中阶段2就是调用NtCreateProcess()来创建一个进程对像。P300页还第二段还提到了CreateProcess（还有CreateProcessAsUser,CreateProcessWithTokenW,CreateProcessWithLogon等）函数，加上304页提到的NtCreateProcess（）很是疑惑。《Windows NT 2000 Native API Reference》中有一句关于ZwCreateProcess()的：The process created does not contain any threads.说明此函数真只是创建了进程内核对象。还有一句是：Related Win32 Functions： CreateProcess, CreateProcessAsUser.说明，CreateProcess 函数确实跟 ZwCreateProcess()（NtCreateProcess()）有关啊。如果，这两本书都是正确的话，那前面老外的话。。。呵呵。。还请大家指教。。 2009-8-27 12:37 0
lovebubble 雪币： 245 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 72 粉丝 0 关注私信	lovebubble 9 楼呵呵，多谢！！若是再多些汉字会更好 2009-8-27 12:38 0
lovebubble 雪币： 245 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 72 粉丝 0 关注私信	lovebubble 10 楼 - 2009-8-27 12:39 0
lovebubble 雪币： 245 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 72 粉丝 0 关注私信	lovebubble 11 楼呵呵，先谢谢支持。不过，能否再给些提示。。 2009-8-27 12:40 0
lovebubble 雪币： 245 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 72 粉丝 0 关注私信	lovebubble 12 楼 MJ大大，请问一下：假设NtCreateProcess成功返回，但若在挂钩(MyNtcreateProcess)中向上层返回失败，此时内核中的相关结构已经建成，这些结构怎么处理啊？谢谢！ 2010-7-20 17:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复