91欧美国产在线播放,东京热人妻中文无码,heyzo国产亚洲高清

_{<sub id="hb744"></sub>}

win10 x64 explorer.exe進(jìn)程創(chuàng)建hook的問題

999 2022-4-20 1619

我在win10 x64下將dll注入進(jìn)explorer進(jìn)程去hook shellexecute函數(shù)，為什么只能攔截到通過任務(wù)欄創(chuàng)建的進(jìn)程，而通過雙擊桌面圖標(biāo)或直接從文件管理器里雙擊打開的進(jìn)程攔截不到，如果要攔截應(yīng)該去hook哪個(gè)函數(shù)？在任務(wù)欄創(chuàng)建進(jìn)程是通過explorer!CTray::command去調(diào)用shellexecuteExW，如果在桌面或者資源管理器中創(chuàng)建進(jìn)程會(huì)調(diào)用explorer中的哪個(gè)函數(shù)？

1條回答

xwh9315 2022-4-21

shellexecute是最上層的動(dòng)作，他的入?yún)⒖梢灾С趾芏喾N，例如一個(gè)文件名，一個(gè)目錄，或者一個(gè)pe文件等等，你如果想攔截進(jìn)程創(chuàng)建，本質(zhì)上也應(yīng)該再往更深的位置hook，createprocess相關(guān)的，這才是真正創(chuàng)建進(jìn)程前的動(dòng)作。
還有一個(gè)，不知道你的需求是什么，是只需要攔截explore的子進(jìn)程么，如果是的話，你確實(shí)只需要hook explore，如果不是的話，光掛鉤explore肯定不夠，你也可以在r0層，例如通過監(jiān)聽processcreatenotify這種，然后攔截你想攔截的進(jìn)程創(chuàng)建動(dòng)作。

回復(fù)