RT 目前HOOK了 NtResumeThread
想拦截目标进程
在研究如何判断当前拦截到的进程(已经拿到PEPROCESS指针)是否为新创建的进程
我想了几个方法 比如判断PID 但是这样的话 多个相同程序之间不好区别
诸位有啥好思路 求不吝赐教~
PS:补充问题
有没有什么方法 可以通过 EPROCESS 获取 SYSTEM_PROCESS_INFORMATION
想拦截目标进程
在研究如何判断当前拦截到的进程(已经拿到PEPROCESS指针)是否为新创建的进程
我想了几个方法 比如判断PID 但是这样的话 多个相同程序之间不好区别
诸位有啥好思路 求不吝赐教~
PS:补充问题
有没有什么方法 可以通过 EPROCESS 获取 SYSTEM_PROCESS_INFORMATION