单个过程中的钩子功能

时间:2012-05-05 18:19:23

标签: windows process kernel hook

任何人都可以告诉我如何只针对单个进程从内核驱动程序函数中挂钩。例如ZwQueryInformationProcess。

谢谢!

1 个答案:

答案 0 :(得分:1)

你不能在Windows内核中这样做。 ntoskrnl的ZwXXX函数是本机API。它们是全球共同的功能。用户模式下的所有进程都使用该函数的一个副本。内核中没有写入时复制或其他内容。 您可以使用以下方式实现此目的:

  1. 钩子特殊进程的ntdll.dll的ZwQueryInformationProcess 用户模式。
  2. 在内核模式下在钩子函数中添加一个过滤器。如果 当前的流程背景不是你想要的。通过它。

    3. 这就是全部。

    感谢。

相关问题
最新问题