CreateToolhelp32Snapshot() 访问被拒绝(以管理员身份甚至 NT AUTHORITY\SYSTEM 运行时)

逆向工程 视窗
2021-06-23 15:31:38

我遇到了一个麻烦的过程,它拒绝允许 CreateToolhelp32Snapshot()。

我还注意到,在 sysinternals 进程资源管理器中,它也显示了其他内容的“拒绝访问”,例如文件路径,即使以管理员身份或什至 NT AUTHORITY\SYSTEM 运行也是如此。

有谁知道他们是如何做到这一点的?我能想到的唯一方法是使用某种内核模式驱动程序并做一些伏都教魔法。

我很感激任何想法

1个回答

原来这个过程使用了一个驱动程序,现在我不知道那个驱动程序到底在做什么(可能是一些巫毒魔法)。但它阻止了 CreateToolhelp32Snapshot() 和其他一些东西。

其它你可能感兴趣的问题
上一篇修复 ghidra 反编译 下一篇关于在win32k上启用特殊池的问题