已经挂钩(hook)，怎么知道这个程序创建了那些管道、共享内存及别的内核对象，我想把它们关闭掉

xf_21 2020-09-16 11:42:45

RT
有回答再加分。多谢！

...全文

84 1 打赏收藏转发到动态举报

写回复

用AI写文章

1 条回复

切换为时间正序

请发表友善的回复…

发表回复

an_bachelor 2020-09-16

打赏
举报

https://docs.microsoft.com/en-us/windows/win32/sysinfo/kernel-objects
可以参考这些创建函数
但别人程序有可能使用这些入口函数下层调用的函数直接创建比如不用CreateFile 用NtCteateFile
所以建议下载符号文件通过调试器看看这些创建函数下层调用的是什么函数尽量hook得底层一点

猜测:也许还可以通过Hook OS内核模块暴露出的API来实现更有效的拦截,但没搞过驱动,不知道内核态下会有多大的差异,祝你好运

第1章内核上机指导 2 1.1 下载和使用WDK 2 1.1.1 下载并安装WDK 2 1.1.2 编写第一个C文件 4 1.1.3 编译一个工程 5 1.2 安装与运行 6 1.2.1 下载一个安装工具 6 1.2.2 运行与查看输出信息 7 1.2.3 在虚拟机...

14.3.2　实例：使用匿名管道重定向程序输出 261 14.3.3　实例：命名管道示例 263 14.3.4　实例：邮槽通信示例 266 14.4　剪贴板 267 14.4.1　剪贴板通信机制 267 14.4.2　实例：使用剪贴板实现进程间通信示例 269 第...