当前位置：网站首页>记录一下逆向任务管理器的过程

记录一下逆向任务管理器的过程

2022-07-06 03:12:00 【宇龍_】

关键字：

任务管理器,逆向,WdcSafeOpenProcess,ResolveImagePath_Desktop,OpenProcess

记录一下本次逆向任务管理器的过程，整个过程相对愉悦轻松。

这里不详细分析任务管理器的各个功能实现，在本次逆向中，只关注一个功能点——任务管理器是如何获取进程id为4的system的相关信息的？因为做过Windows进程相关编程的都清楚，微软提供的API函数除了获取System的进程名及pid外，其他信息(如路径、命令行等)是获取不到的。

我们看一下任务管理器的展示情况：

这个进程的描述信息是哪儿来的？我们甚至能右键打开文件所在位置...

首先，打开IDA，先来一波静态分析：

从导入表看起，看看任务管理器是如何获取进程句柄的(猜想难道在这里有特殊处理？)

我们看到导入表中有OpenProcess函数，看一下在任务管理器里是如何调用的，查看该函数的交叉引用

版权声明
本文为[宇龍_]所创，转载请带上原文链接，感谢
https://zhiyu.blog.csdn.net/article/details/125587824