Я пытаюсь написать хук, который будет ловить "SomeFunction" Process Explorer, который приостанавливает процесс. У меня уже есть решение, которое перехватывает такие функции, как SuspendThread и NtSuspendThread. Но Process Explorer использует что-то другое, и я не знаю, что. Подскажите, пожалуйста, название функции, используемой PE для приостановки процесса?
Какую функцию winapi использует Process Explorer для приостановки процесса?
comment
Вы смотрели таблицу импорта? Вы сделали что-нибудь, чтобы помочь себе, прежде чем спросить здесь?
- person Ben Voigt schedule 06.08.2014
Ответы (1)
Прикрепите его к монитору API; Он вызывает NtOpenProcess -> NtSuspendProcess()
person
Alex K.
schedule
06.08.2014
Какой монитор API вы использовали здесь?
- person Niall; 06.08.2014
Спасибо, выглядит очень красиво. Я покопаюсь в этом еще немного, всегда на рынке хорошие инструменты.
- person Niall; 06.08.2014
Спасибо, это оно! Я пытался перехватить NtSuspendThread в procexp.exe, но безрезультатно. Я подключил эту функцию в procexp64.exe и она работает!!! Большое спасибо!!!
- person Anton23; 07.08.2014
