我发现了一个很怪的现象
在win11之前,CreateProcessInternalW 是在 kernel32 里。
意思是HOOK kernel32 里的 CreateProcessInternalW就可以了。
但是到了win11.我反复确认代码没问题 之后。
无奈OD之。。。
发现他根本不走 Ckernel32而是直接 KernelBase.dll。
奈何,浪费几个小时高估几行代码。冤死。
另外,
既然已经卡到此处,索性单步到最后,
看看从 CreateProcess 到 CreateProcessInternal 到底干了些什么///
我发现,不论标志位是否为4,即创建一个挂起进程。
其都为同样的创建步骤,唯一不同的是,没有标志4的创建过程,
最后多了一个NtResumeThrea操作,即恢复一个线程。
另外,我看到 CreateProcessInternal不是最终创建进程调用api,
最终api还是在NT里面的。而且步骤超繁琐,才到他。
页:
[1]