监控下一个进程的创建过程,关键函数的执行先后关系如下:
XP sp3下:
1.NtCreateProcessEx
2.NtCreateThread
3.CreateProcessNotify,调用创建进程回调函数,在PspCreateThread中调用
4.CreateThreadNotify,调用创建线程回调函数,在PspCreateThread中调用
Vista、Win7下:
1.NtCreateUserProcess->PspInsertThread
2.CreateProcessNotify,调用创建进程回调函数,在PspInsertThread中调用,也就是NtCreateUserProcess的深层
3.CreateThreadNotify,调用创建进程回调函数,在PspInsertThread中调用,也就是NtCreateUserProcess的深层
双向链表的添加、查找、删除算法 (2010-3-27 15:35:10)
利用0day在win7下从user权限提升到system权限演示 (2010-3-20 23:27:23)
编写不影响继续执行的栈溢出shellcode,拒绝不返回,拒绝崩溃 (2010-3-20 23:4:36)
驱动枚举所有快捷键 (2010-3-19 20:48:48)
分析学习木马鬼影 (2010-3-19 19:22:11)
文件过滤驱动要小心分配内存 (2010-3-11 19:43:34)
正规软件带rootkit模块后果很严重 (2010-1-28 21:11:38)
64位下好神奇啊 (2009-11-12 16:40:18)
我也来发强制进程内存读写 (2009-7-18 16:15:17)
大放血,一种新的加载驱动方法非完整爆光 (2009-5-28 19:54:1)
1.jobasic◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。