火山软件开发平台

标题: 我发现了一个很怪的现象 [打印本页]

作者: server 时间: 2022-9-24 10:56
标题: 我发现了一个很怪的现象
在win11之前，
CreateProcessInternalW 是在 kernel32 里。
意思是HOOK kernel32 里的 CreateProcessInternalW 就可以了。
但是到了win11.我反复确认代码没问题之后。
无奈OD之。。。

发现他根本不走 Ckernel32 而是直接 KernelBase.dll。
奈何，浪费几个小时高估几行代码。冤死。

作者: server 时间: 2022-9-24 11:14
另外，
既然已经卡到此处，索性单步到最后，
看看从 CreateProcess 到 CreateProcessInternal 到底干了些什么///
我发现，不论标志位是否为4，即创建一个挂起进程。
其都为同样的创建步骤，唯一不同的是，没有标志4的创建过程，
最后多了一个NtResumeThrea操作，即恢复一个线程。

另外，我看到 CreateProcessInternal 不是最终创建进程调用api，
最终api还是在NT里面的。而且步骤超繁琐，才到他。

欢迎光临火山软件开发平台 (https://bbs.voldp.com/)