注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

且行且记录

点滴记录,行的更远!

 
 
 

日志

 
 

调试explorer跟踪创建进程  

2013-09-25 09:12:52|  分类: 调试记录 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

调试explorer

cdb -pn explorer.exe

下断点

*bm ntdll!??createprocess*
bp ntdll!NtCreateProcessEx ".echo ==createprocess==;du poi(@ebp+c);du poi(@ebp+10);g"

这样只要在资源管理器中有进程创建就可以显示出来了。

像平常的双击图标,控制面板里面的行为所对应的创建进程,都一清二楚了。

安全退出下命令qd即可,这样不会使资源管理器崩溃。

==createprocess==
06ebccd8  "C:\WINDOWS\system32\verclsid.exe"
06ebcd18  ""
06ebcee0  "/S /C {D6277990-4C6A-11CF-8D87-0"
06ebcf20  "0AA0060F5BF} /I {10DF43C8-1DBE-1"
06ebcf60  "1D3-8B34-006097DF5BD4} /X 0x401"

==createprocess==
05c5c5b4  "C:\WINDOWS\system32\rundll32.exe"
05c5c5f4  ""
05c5a31c  ""rundll32.exe" shell32.dll,Optio"
05c5a35c  "ns_RunDLL 0"
==createprocess==
05c5c5b4  "C:\WINDOWS\system32\rundll32.exe"
05c5c5f4  ""
05c5a31c  ""rundll32.exe" shell32.dll,Optio"
05c5a35c  "ns_RunDLL 1"

==createprocess==
05c5af74  "C:\WINDOWS\System32\fontview.exe"
05c5afb4  ""
05c58cdc  ""C:\WINDOWS\System32\fontview.ex"
05c58d1c  "e" C:\WINDOWS\Fonts\FRABK.TTF"
==createprocess==
05c5af74  "C:\WINDOWS\System32\notepad.exe"
05c58cdc  ""C:\WINDOWS\System32\notepad.exe"
05c58d1c  ""  "C:\WINDOWS\Fonts\GlobalMonos"
05c58d5c  "pace.CompositeFont""
==createprocess==
05c5af74  "C:\WINDOWS\System32\notepad.exe"
05c58cdc  ""C:\WINDOWS\System32\notepad.exe"
05c58d1c  ""  "C:\WINDOWS\Fonts\GlobalSansS"
05c58d5c  "erif.CompositeFont""

==createprocess==
05c670e4  "C:\WINDOWS\system32\rundll32.exe"
05c67124  ""
05c64e4c  ""C:\WINDOWS\system32\rundll32.ex"
05c64e8c  "e" C:\WINDOWS\system32\shell32.d"
05c64ecc  "ll,Control_RunDLL "C:\WINDOWS\sy"
05c64f0c  "stem32\nusrmgr.cpl",用户帐户"
==createprocess==
05c670e4  "C:\WINDOWS\system32\rundll32.exe"
05c67124  ""
05c64e4c  ""C:\WINDOWS\system32\rundll32.ex"
05c64e8c  "e" C:\WINDOWS\system32\shell32.d"
05c64ecc  "ll,Control_RunDLL "C:\PROGRA~1\M"
05c64f0c  "ICROS~1\Office12\MLCFG32.CPL",@0"
05c64f4c  ""
==createprocess==
05c6102c  "C:\WINDOWS\system32\rundll32.exe"
05c6106c  ""
05c5ed94  ""C:\WINDOWS\system32\rundll32.ex"
05c5edd4  "e" /d C:\WINDOWS\system32\shell3"
05c5ee14  "2.dll,Control_RunDLL timedate.cp"
05c5ee54  "l"

==createprocess==
05c61434  "C:\Program Files\Microsoft Offic"
05c61474  "e\Office12\EXCEL.EXE"
05c5f19c  ""C:\Program Files\Microsoft Offi"
05c5f1dc  "ce\Office12\EXCEL.EXE" "
==createprocess==
05c5b37c  "C:\PROGRA~1\SOLIDW~2\SOLIDW~1\sl"
05c5b3bc  "dworks.exe"
05c590e4  ""C:\PROGRA~1\SOLIDW~2\SOLIDW~1\s"
05c59124  "ldworks.exe" /dde"

054676e8  ""C:\Program Files\Adobe\Reader 1"
05467728  "1.0\Reader\AcroRd32.exe" /b /id "
05467768  "612_6428 /if pdfshell_sh06d011c6"
054677a8  "-86ea-4fd8-8c06-a3f7249bc9d2 --s"
054677e8  "hell-broker-channel=broker_pdfsh"
05467828  "ell_sh2e010b87-823b-43bd-8868-5e"
05467868  "afe42ba34b"
==createprocess==
05c60f0c  "C:\PROGRAM FILES\FOXIT SOFTWARE\"
05c60f4c  "FOXIT READER\FOXIT READER.EXE"
05c5ec74  ""C:\PROGRAM FILES\FOXIT SOFTWARE"
05c5ecb4  "\FOXIT READER\FOXIT READER.EXE" "
05c5ecf4  " "\\192.168.10.xxx\scan\xxxx"
05c5ed34  "xxxxxx.pdf""

==createprocess==
044bd64c  "C:\WINDOWS\system32\verclsid.exe"
044bd68c  ""
044bd854  "/S /C {E211B736-43FD-11D1-9EFB-0"
044bd894  "000F8757FCD} /I {000214E6-0000-0"
044bd8d4  "000-C000-000000000046} /X 0x401"

==createprocess==
05c689ac  "C:\WINDOWS\system32\odbcad32.exe"
05c689ec  ""
05c66714  ""C:\WINDOWS\system32\odbcad32.ex"
05c66754  "e" "
==createprocess==
05c679a4  "C:\WINDOWS\system32\mmc.exe"
05c6570c  ""C:\WINDOWS\system32\mmc.exe" "C"
05c6574c  ":\WINDOWS\system32\services.msc""
05c6578c  " /s"
==createprocess==
05c679a4  "C:\WINDOWS\system32\mmc.exe"
05c6570c  ""C:\WINDOWS\system32\mmc.exe" "C"
05c6574c  ":\WINDOWS\system32\secpol.msc" /"
05c6578c  "s"
==createprocess==
05c679a4  "C:\WINDOWS\system32\mmc.exe"
05c6570c  ""C:\WINDOWS\system32\mmc.exe" "C"
05c6574c  ":\WINDOWS\system32\eventvwr.msc""
05c6578c  " /s"

  评论这张
 
阅读(453)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017