XP修改父进程
vista以上系统可以通过InitializeProcThreadAttributeList
UpdateProcThreadAttribute
在创建进程时候 设置 STARTUPINFOEX达到修改父进程
现在想问XP下人家是如何修改父进程句柄的{:soso_e143:} EPROCESS里有一个叫做InheritedFromUniqueProcessId的成员,记录了父进程ID。
RING3就别想了。 Tesla.Angela 发表于 2015-5-28 10:04
EPROCESS里有一个叫做InheritedFromUniqueProcessId的成员,记录了父进程ID。
RING3就别想了。 ...
那有些OD插件的伪造父进程,是用驱动加载了吧
页:
[1]