NTTerminateProcess hooken
-
Hallo,
ich bin gerade dabei einen (Kernel)Treiber für unsere Archivierungssoftware zu schreiben. Ich würde gerne die NTTerminateProcess hooken, überpfüfen ob es sich um unser Programm handelt und wenn ja dann schließen wir nicht und wenn es was anderes ist dann können wir schließen.
Jetzt bekomme ich im Moment nur ein HANDLE des Prozesses. Wie bekomme ich anhand des Handles mehr Informationen. Zum Beispiel den Namen der Anwendung oder irgendwas was auch nur ansatzweise brauchbar ist? Struktur oder so...
Danke
-
hier hat das jemand schonmal versucht...
http://www.spotlight.de/zforen/cpp/m/cpp-1173881135-21856.html
-
zmomg du schreibst Treiber aber weißt bei so ner Kleinigkeit nicht weiter?
Du bringst mir bei, wie man Treiber schreibt, und ich helf dir bei so API Sachen weiter, ok?
-
zmomg schrieb:
zmomg du schreibst Treiber aber weißt bei so ner Kleinigkeit nicht weiter?
Du bringst mir bei, wie man Treiber schreibt, und ich helf dir bei so API Sachen weiter, ok?
Im Kernel rumzufucken ist nicht schwierig...
Wenn der Fuck sich in Grenzen halten soll, dann muss man aufpassen.