关于打开程序时api函数的问题

请问下,我们平常在explorer中打开某个程序时所调用的API函数是什么?为什么我hook了CreateFileA没有得到相关信息,还是我hook错了进程。我hook了explorer.exe中的第一个线程

解决方案 »

  1.   

    我试了,没什么变化,还是不能hook到
      

  2.   

    Hook CreateProcessInternalW
    绝对OK
      

  3.   

    再请问下,我只是想预处理判别下,然后继续,再使用CreateProcessInternalW 时提示没这个函数,是不是要加哪个头文件》?
      

  4.   

    CreateProcessInternalW是未公开的函数,但在kernel32.dll中被导出。
    看你用什么方法挂钩的,如果需要地址的话可用GetProcAddress获取。
      

  5.   

    头文件中没有,在在kernel32.dll中导出的。CreateProcessInternalW是CreateProcess/ShellExec的根源调用,逆向可以得出