«

»

21

获取进程路径的种种方法

RT。在网上搜集了一下,整理了如下几种方法。

1.PEB->ProcessParameters->ImagePathName
2.EPROCESS->SeAuditProcessCreationInfo->ImageFileName->Name
3.EPROCESS->SectionObject->SegmentObject->ControlArea->FileObject->FileName
4.ZwQueryInformationProcess-PEB,RtlVolumeDeviceToDosName(这个没看明白)

理论上讲都可以伪装……

BTW:推荐一个好网站http://msdn.moonsols.com/,各个系统的各个结构都可以在上面查到,很好很强大。

 

发表评论

电子邮件地址不会被公开。 必填项已用*标注

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>