<button id="nckgc"><object id="nckgc"></object></button><button id="nckgc"><acronym id="nckgc"></acronym></button>

    1. 首頁
      社區
      課程
      招聘
      win10 x64 explorer.exe進程創建hook的問題
      999 2022-4-20 1403

      我在win10 x64下將dll注入進explorer進程去hook shellexecute函數,為什么只能攔截到通過任務欄創建的進程,而通過雙擊桌面圖標或直接從文件管理器里雙擊打開的進程攔截不到,如果要攔截應該去hook哪個函數?在任務欄創建進程是通過explorer!CTray::command去調用shellexecuteExW,如果在桌面或者資源管理器中創建進程會調用explorer中的哪個函數?

      收藏
      1條回答
      xwh9315 2022-4-21

      shellexecute是最上層的動作,他的入參可以支持很多種,例如一個文件名,一個目錄,或者一個pe文件等等,你如果想攔截進程創建,本質上也應該再往更深的位置hook,createprocess相關的,這才是真正創建進程前的動作。
      還有一個,不知道你的需求是什么,是只需要攔截explore的子進程么,如果是的話,你確實只需要hook explore,如果不是的話,光掛鉤explore肯定不夠,你也可以在r0層,例如通過監聽processcreatenotify這種,然后攔截你想攔截的進程創建動作。

      回復
      国产极品粉嫩福利姬萌白酱_欧美日韩在99线_粉条茄子做法视频_被按摩师玩弄到潮喷在线播放