HougeGood

摘要： 先总结一下，一个进程的名字有可能从以下部位获取（参考小伟同学的《伪造进程初探》一文）：一、EPROCESS中： 1、EPROCESS-->ImageFileName（很常用，冰刃获取进程名的地方） 2、EPROCESS-->SeAuditProcessCreationInfo->ImageFil... 阅读全文