递归火山软件开发平台
标题:
我发现了一个很怪的现象
[打印本页]
作者:
server
时间:
2022-9-24 10:56
标题:
我发现了一个很怪的现象
在win11之前,
CreateProcessInternalW 是在 kernel32 里。
意思是HOOK kernel32 里的 CreateProcessInternalW 就可以了。
但是到了win11.我反复确认代码没问题 之后。
无奈OD之。。。
发现他根本不走 Ckernel32 而是直接 KernelBase.dll。
奈何,浪费几个小时高估几行代码。冤死。
作者:
server
时间:
2022-9-24 11:14
另外,
既然已经卡到此处,索性单步到最后,
看看从 CreateProcess 到 CreateProcessInternal 到底干了些什么///
我发现,不论标志位是否为4,即创建一个挂起进程。
其都为同样的创建步骤,唯一不同的是,没有标志4的创建过程,
最后多了一个NtResumeThrea操作,即恢复一个线程。
另外,我看到 CreateProcessInternal 不是最终创建进程调用api,
最终api还是在NT里面的。而且步骤超繁琐,才到他。
欢迎光临 递归火山软件开发平台 (https://bbs.voldp.com/)
Powered by Discuz! X3.4