Я нахожусь в конце моей веревки здесь.Я уже три недели пытаюсь получить эту информацию.Прежде чем я продолжу, я хочу, чтобы вы знали, что я не пишу здесь вредоносные программы.Однако я пишу инструмент бинарного анализа, который отслеживает поведение вредоносных программ.
Я пытаюсь либо подключить, либо мониторить CreateServiceW и CreateServiceA.Причина в том, что я хочу знать, какой процесс вызвал CreateService и что такое двоичный файл, который регистрируется в качестве службы вызовом.
Я пробовал все, начиная от записи перехвата ZwRequestWaitReplyPort и перехвата сообщения LPC, до написанияпрокси DLL для advapi32.dll и написание встроенного хука для функции CreateService.Ни один из этих подходов не дал результатов, хотя.Прокси-DLL была многообещающей в тестировании, но не работала, когда официальная DLL в system32 была заменена прокси (BSOD).Встроенный хук сработал бы, если бы я мог получить доступ на запись в отображенную область памяти, в которой находится DLL. Но независимо от того, что у меня заканчивается время, и я отчаянно нуждаюсь в альтернативе.
Я смотрел на SetWindowsHookExи кажется правдоподобным, что он может перехватывать сообщения, отправленные процессом в services.exe ... но я не уверен.
Может кто-нибудь указать мне правильное направление ... Я умоляювы.