最新中文字幕免费视频了,丰满少妇A片免费观看水多多

win10 x64 explorer.exe進程創(chuàng)建hook的問題

999 2022-4-20 2012

我在win10 x64下將dll注入進explorer進程去hook shellexecute函數，為什么只能攔截到通過任務欄創(chuàng)建的進程,，而通過雙擊桌面圖標或直接從文件管理器里雙擊打開的進程攔截不到,，如果要攔截應該去hook哪個函數,？在任務欄創(chuàng)建進程是通過explorer!CTray::command去調用shellexecuteExW,，如果在桌面或者資源管理器中創(chuàng)建進程會調用explorer中的哪個函數,？

1條回答

xwh9315 2022-4-21

shellexecute是最上層的動作,，他的入參可以支持很多種,，例如一個文件名,，一個目錄，或者一個pe文件等等,，你如果想攔截進程創(chuàng)建,，本質上也應該再往更深的位置hook，createprocess相關的,，這才是真正創(chuàng)建進程前的動作,。
還有一個，不知道你的需求是什么,，是只需要攔截explore的子進程么,，如果是的話,，你確實只需要hook explore，如果不是的話,，光掛鉤explore肯定不夠,，你也可以在r0層，例如通過監(jiān)聽processcreatenotify這種,，然后攔截你想攔截的進程創(chuàng)建動作,。

回復