设为首页收藏本站
切换到窄版

 找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛»论坛广场 置顶区 WINDOWS核心编程 XP修改父进程
返回列表 发新帖
查看: 3838|回复: 2

XP修改父进程

[复制链接]
huangchao209

8

主题

51

回帖

0

精华

铜牌会员

积分
291
发表于 2015-5-28 06:07:57 | 显示全部楼层 |阅读模式
vista以上系统可以通过
InitializeProcThreadAttributeList
UpdateProcThreadAttribute
在创建进程时候 设置 STARTUPINFOEX达到修改父进程

现在想问XP下人家是如何修改父进程句柄的{:soso_e143:}
回复

举报

Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
发表于 2015-5-28 10:04:33 | 显示全部楼层
EPROCESS里有一个叫做InheritedFromUniqueProcessId的成员,记录了父进程ID。
RING3就别想了。
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

huangchao209

8

主题

51

回帖

0

精华

铜牌会员

积分
291
 楼主| 发表于 2015-5-28 20:06:24 | 显示全部楼层
Tesla.Angela 发表于 2015-5-28 10:04
EPROCESS里有一个叫做InheritedFromUniqueProcessId的成员,记录了父进程ID。
RING3就别想了。 ...

那有些OD插件的伪造父进程,是用驱动加载了吧
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

快速回复 返回顶部 返回列表