跪求大牛指点 关于win7 下hook NtCreateUserProcess函数
猪猪Zz 2014-03-31 07:24:51 跪求好心大牛 指点迷津,本人驱动学习爱好者,想在win7下实现 hook NtCreateUserProcess 进程监控 ,但是
typedef struct _RTL_USER_PROCESS_PARAMETERS {
UCHAR Reserved1[16];
PVOID Reserved2[10];
UNICODE_STRING ImagePathName;
UNICODE_STRING CommandLine;
} RTL_USER_PROCESS_PARAMETERS, *PRTL_USER_PROCESS_PARAMETERS;
NTSTATUS MyNtCreateUserProcess( PHANDLE ProcessHandle,
PHANDLE ThreadHandle,
ACCESS_MASK ProcessDesiredAccess,
ACCESS_MASK ThreadDesiredAccess,
POBJECT_ATTRIBUTES ProcessObjectAttributes,
POBJECT_ATTRIBUTES ThreadObjectAttributes,
ULONG CreateProcessFlags,
ULONG CreateThreadFlags,
RTL_USER_PROCESS_PARAMETERS ProcessParameters,
PVOID Parameter9,
PVOID AttributeList)
中ProcessParameters的 UNICODE_STRING ImagePathName;和 UNICODE_STRING CommandLine;
获取进程路径得到都是空 跪求好心大牛指点如何获取进程路径 万分感谢 这个问题困扰我好久 网上也查了好久 都没找到答案