dfrgntfs.exe进程是如何创建的

我用API HOOK 拦截发现这个进程不是用CreateProcessW创建的 ,好像是通过svchost来创建的,不知道谁能告诉我如何拦截这个进程的创建,即该进程创建的过程。谢谢!

解决方案 »

  1.   

    我用进程察看器看了一下,发现它是svchost的一个子进程。拦截svchost的CreateProcessW也没有成功,郁闷。
      

  2.   

    路过, 不懂, 学习一下, 顺便借帖问一下,
    进程一定是CreateProcessW/CreateProcessA创建吗?
      

  3.   

    微软的东西没有一定的。kernel32导出了三个函数CreateProcessInternalA CreateProcessInternalW
    CreateProcessInternalWSecure  没有关于这些函数的任何资料
      

  4.   

    创建进程的比较多呀
    CreateProcessAsUser
    CreateProcessWithLogonW
      

  5.   

    嗯,MS有些API都没怎么公开,文档也比较少
      

  6.   

    经验证确实是 svchost 通过 CreateProcessAsUserW 创建的,现在问题已经圆满解决,谢谢各位的参与!