qq_37274297
这家伙很懒,什么也没写
监控准备运行的可执行文件
监控准备运行的可执行文件:修改(NtCreateSection)SSDT索引号,(索引号从用户程序中得到)HOOK NtCreateSection()这个函数,然后通过文件句柄获得文件名,判断它是不是可执行文件,检测其属性与判断用户是否允许它执行,如果允许就运行原来NtCreateSection这个
C 6 0 APPLICATION/X-RAR 2020-08-16 08:08:24
这家伙很懒,什么也没写
监控准备运行的可执行文件:修改(NtCreateSection)SSDT索引号,(索引号从用户程序中得到)HOOK NtCreateSection()这个函数,然后通过文件句柄获得文件名,判断它是不是可执行文件,检测其属性与判断用户是否允许它执行,如果允许就运行原来NtCreateSection这个
C 6 0 APPLICATION/X-RAR 2020-08-16 08:08:24