摘要: 傀儡进程创建过程: (1) 通过CreateProcess以CREATE_SUSPENDED方式创建一个进程。 (2) GetThreadContext获取挂起进程CONTEXT。 (3) ZwUnmapViewOfSection卸载挂起进程内存空间数据; (4) VirtualAlloc分配内存空 阅读全文
posted @ 2017-12-17 17:42 chey.x 阅读(973) 评论(0) 推荐(0) 编辑