HIPS
关注
分享
扫一扫
kernweak
日子越来越有判头了
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
x64回调监控注册表
x86下可以使用hook技术,x64下使用回调监控。主要函数CmRegisterCallback(RegistryCallback, NULL, &CmHandle);原型NTSTATUS CmRegisterCallback( PEX_CALLBACK_FUNCTION Function, PVOID Context, PLARG...原创 2019-07-18 21:05:21 · 910 阅读 · 0 评论 -
通过GetProcessNameByProcessId得到进程路径
写主防时,为了拿到进程路径,所以查询发现一种发现一种方式是通过PID,调用PsLookupProcessByProcessId(ProcessId, &ProcessObj)拿到进程的EPROCESS,然后PsGetProcessImageFileName(ProcessObj)拿到进程进程路径。现在看下PsLookupProcessByProcessId资料kd> u P...原创 2019-07-19 20:28:07 · 4134 阅读 · 0 评论