0

谁能告诉我如何仅从内核驱动程序函数中挂钩单个进程。例如 ZwQueryInformationProcess。

谢谢!

4

1 回答 1

1

你不能在 Windows 内核中做到这一点。ntoskrnl 的 ZwXXX 函数是原生 API。它们是全局通用函数。用户模式下的所有进程都使用该函数的一份副本。内核中没有写时复制或其他内容。您可以通过使用这种方式来实现这一点:

  1. 钩住用户态特殊进程ntdll.dll的ZwQueryInformationProcess。
  2. 在内核模式下的钩子函数中添加一个过滤器。如果当前进程上下文不是您想要的。通过它。

就这样。

谢谢。

于 2012-05-08T10:16:35.770 回答