文章讲述了在Win7环境下,Word在处理hyperlink时遇到的BUG,通过PsSetCreateProcessNotifyRoutine回调错误地终止Chrome进程。问题在于ZwTerminateProcess参数使用不当,修正为STATUS_ACCESS_DENIED后问题得到解决。还介绍了不同版本进程通知回调的区别和正确用法。
最近遇到一个BUG,通过Word在打开hyperlink时,在进程通知回调中结束了Chrome浏览器进程,目标进程虽然被杀了,但是Word还会再尝试用另一种方法再打开浏览器,这种情况只出现在Win7上,百思不得其解。。。最终定位到根本原因,原来是调用ZwTerminateProcess时传错了ExitStatus参数导致,修改为STATUS_ACCESS_DENIED后问题解决;
微软提供了3个进程创建通知回调,参数和NT内核支持不同,分别是
- PsSetCreateProcessNotifyRoutine
Windows 2000 - PsSetCreateProcessNotifyRoutineEx
VistaSP1 or WinServer2008 - PsSetCreateProcessNotifyRoutineEx2
Win10 1703
其中Ex、Ex2版本的进程通知回调中结束进程,可以直接设置参数的CreateInfo.ExitStatus = STATUS_ACCESS_DENIED
而PsSetCreateProcessNotifyRoutine,常规做法是,在回调中再创建一个内核线程,在新线程中通过ZwTerminateProcess去结束想要阻止创建的进程;
ZwTerminateProcess第二个参数是ExitStatus,如果传入NULL,表示进程正常退出,某些场景会影响父进程的处理逻辑,正确做法应该也跟Ex版本一样,传入STATUS_ACCESS_DENIED
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
