2014年11月6日
内核回调的触发时机
摘要: 自己验证的环境WinXP SP3 x86进程创建回调 进程被影射进内存之后,仅仅是被影射进来之后。 也就是进程内部空间的修改可能会修改到应用程序文件。 这时有一条线程存在,但是没有被运行,也就是说,主线程存在,但是还没有执行到exe 的 oep。 这时可以做的操作不多, 可以插入APC,但... 阅读全文
posted @ 2014-11-06 10:22 穷到底 阅读(432) 评论(0) 推荐(0)