Перехват ZwOpenProcess

[Anton911]

В общем на основе своей предыдущей темы про перехват LoadLibraryW
написал функцию на перехват ZwOpenProcess в нужном процессе. Без глобальных хуков. Ведь выяснил, что даже если пытается открыть какое-либо другое приложение, в процессе цели также происходит вызов данной функции. В общем перехватываться то перехватывается...
А реальноли разобраться, "кто" открывает процесс?

Код:

function NewOpenProcess(phProcess:PDWORD; AccessMask:DWORD; ObjectAttributes:PObjectAttributes;
 ClientID:PClientID): NTStatus; stdcall;
  var
    Test:string;
    point:Pointer;
begin
  Result := _OpenProcess(phProcess, AccessMask, ObjectAttributes, ClientID);
  Assign(filee, 'C:\log1.log');
  Append(filee);
  WriteLn(filee, 'phProcess = ' + IntToStr(DWORD(phProcess)) +
                  ' AccessMask = ' + IntToStr(AccessMask) +
                  ' OA.Length = ' +  IntToStr(ObjectAttributes.Length) +
                  ' OA.RootDirectory = ' +  IntToStr(ObjectAttributes.RootDirectory) +
                  ' OA.ObjectName = ' +  String(ObjectAttributes.ObjectName) +
                  ' OA.Attributes = ' +  IntToStr(ObjectAttributes.Attributes) +
                  ' OA.SecurityDescriptor: = ' +  IntToStr(DWORD(ObjectAttributes.SecurityDescriptor)) +
                  ' OA.SecurityQualityOfService: = ' +  IntToStr(DWORD(ObjectAttributes.SecurityQualityOfService)) +
                  ' CI.UniqueProcess = ' +  IntToStr(ClientID.UniqueProcess) +
                  ' CI.UniqueProcess = ' +  IntToStr(ClientID.UniqueThread)
                  );
  WriteLn(filee, 'Result: ' + ' Push = ' +IntToStr(Result));
  CloseFile(Filee);
end;

Вывожу в файл такую информацию. Вот пару строк из файла.

Код:

phProcess = 174915296 OA.SecurityDescriptor: = 0 OA.SecurityQualityOfService: = 0 CI.UniqueProcess = 4294967295 CI.UniqueProcess = 0
phProcess = 235208332 OA.SecurityDescriptor: = 0 OA.SecurityQualityOfService: = 0 CI.UniqueProcess = 4294967295 CI.UniqueProcess = 0
phProcess = 26140972 OA.SecurityDescriptor: = 0 OA.SecurityQualityOfService: = 0 CI.UniqueProcess = 5720 CI.UniqueProcess = 0
phProcess = 26140524 OA.SecurityDescriptor: = 0 OA.SecurityQualityOfService: = 0 CI.UniqueProcess = 5720 CI.UniqueProcess = 0
phProcess = 26140588 OA.SecurityDescriptor: = 0 OA.SecurityQualityOfService: = 0 CI.UniqueProcess = 5720 CI.UniqueProcess = 0
phProcess = 26142700 OA.SecurityDescriptor: = 0 OA.SecurityQualityOfService: = 0 CI.UniqueProcess = 5720 CI.UniqueProcess = 0
phProcess = 26140300 OA.SecurityDescriptor: = 0 OA.SecurityQualityOfService: = 0 CI.UniqueProcess = 5720 CI.UniqueProcess = 0
phProcess = 26138976 OA.SecurityDescriptor: = 0 OA.SecurityQualityOfService: = 0 CI.UniqueProcess = 5720 CI.UniqueProcess = 0
phProcess = 26141912 OA.SecurityDescriptor: = 0 OA.SecurityQualityOfService: = 0 CI.UniqueProcess = 5720 CI.UniqueProcess = 0

Что такое phProcess? И CI.UniqueProcess? Вот допустим где CI.UniqueProcess = 5720, 5720 - это реальный ProcessId текущего процесса, а вот допустим CI.UniqueProcess = 4294967295, 4294967295 - это непонятно что.

[Stilet]

Цитата:

ObjectAttributes.SecurityQualityOfS ervice

Просто интересно: PObjectAttributes это же указатель? Тогда как ты получил без разименовывания нужные данные?
Это риторический вопрос.

Цитата:

допустим CI.UniqueProcess = 4294967295, 4294967295 - это непонятно что.

Фоновый или системный процесс. Не?

[Anton911]

Цитата:

Сообщение от Stilet

Просто интересно: PObjectAttributes это же указатель? Тогда как ты получил без разименовывания нужные данные?
Это риторический вопрос.

Блин ненавижу указатели, путаюсь с ними.

Цитата:

Сообщение от Stilet

Фоновый или системный процесс. Не?

Не, процесса ни системного ни фонового с таким PID не существует.

Подскажите пожалуста, как мне правильно разименовать ObjectAttributes.ObjectName.Buffer, где
ObjectAttributes - это указатель на TObjectAttributes
ObjectName - это указатель на TUnicodeString
Buffer - это указатель на WideChar

[Stilet]

Код:

 PWideChar(ObjectAttributes^.ObjectName^.Buffer)

Если не ошибаюсь.

[p51x]

Цитата:

Что такое phProcess?

Цитата:

ProcessHandle [out]
A pointer to a variable of type HANDLE. The ZwOpenProcess routine writes the process handle to the variable that this parameter points to.

Цитата:

И CI.UniqueProcess?

Цитата:

ClientId [in, optional]
A pointer to a client ID that identifies the thread whose process is to be opened. In Windows Vista and later versions of Windows, this parameter must be a non-NULL pointer to a valid client ID. In Windows Server 2003, Windows XP, and Windows 2000, this parameter is optional and can be set to NULL if the OBJECT_ATTRIBUTES structure that ObjectAttributes points to specifies an object name. For more information, see the following Remarks section.

Мы будем строить догадки, возмущаться на форуме, т.к. доку почитать религия не позволяет...