首頁(yè)
社區(qū)
課程
招聘
win10 x64 explorer.exe進(jìn)程創(chuàng)建hook的問(wèn)題
999 2022-4-20 2071
源自:

我在win10 x64下將dll注入進(jìn)explorer進(jìn)程去hook shellexecute函數(shù),為什么只能攔截到通過(guò)任務(wù)欄創(chuàng)建的進(jìn)程,而通過(guò)雙擊桌面圖標(biāo)或直接從文件管理器里雙擊打開(kāi)的進(jìn)程攔截不到,如果要攔截應(yīng)該去hook哪個(gè)函數(shù)?在任務(wù)欄創(chuàng)建進(jìn)程是通過(guò)explorer!CTray::command去調(diào)用shellexecuteExW,如果在桌面或者資源管理器中創(chuàng)建進(jìn)程會(huì)調(diào)用explorer中的哪個(gè)函數(shù)?

收藏
1條回答
xwh9315 2022-4-21

shellexecute是最上層的動(dòng)作,他的入?yún)⒖梢灾С趾芏喾N,例如一個(gè)文件名,一個(gè)目錄,或者一個(gè)pe文件等等,你如果想攔截進(jìn)程創(chuàng)建,本質(zhì)上也應(yīng)該再往更深的位置hook,createprocess相關(guān)的,這才是真正創(chuàng)建進(jìn)程前的動(dòng)作。
還有一個(gè),不知道你的需求是什么,是只需要攔截explore的子進(jìn)程么,如果是的話,你確實(shí)只需要hook explore,如果不是的話,光掛鉤explore肯定不夠,你也可以在r0層,例如通過(guò)監(jiān)聽(tīng)processcreatenotify這種,然后攔截你想攔截的進(jìn)程創(chuàng)建動(dòng)作。

回復(fù)
windows hook
  參與學(xué)習(xí)     人
  提問(wèn)次數(shù)     100 個(gè)
學(xué)習(xí)課程
我的問(wèn)答 領(lǐng)取收益
0
我的提問(wèn)
0
我的回答
0
學(xué)習(xí)收益
?2000 - 2025 看雪 / 滬ICP備2022023406號(hào) / 滬公網(wǎng)安備 31011502006611號(hào)

郵件