监控某“恶意进程”的创建
现有一进程A要创建进程B进程A很狡猾没有走CreateProcess常规的函数,也没有mapfile 等操作,
而是通过一个Service
这种交互式服务创建进程B
我想在ring0捕捉执行细节 进程A到底是如何创建的B
问题如下,我断在了NtCreateUserProcess
但ring3代码没有符号不知道是哪个进程的
查看参数字符串没有找到,imagepath 填的null,无语.........
搜了半天没有解决,
写了个驱动 监控进程创建回调,可以打印出来,但是我想看它的执行细节
syscall后就进到0环了,要想看,得从0环的NtCreateUserProcess ssdt对应的函数下断点看 wyp123 发表于 2024-10-16 17:41
syscall后就进到0环了,要想看,得从0环的NtCreateUserProcess ssdt对应的函数下断点看
注意审题,我就是断到0环的 NtCreateUserProcess
页:
[1]