Алексей Пахунов

… также известный как “Not a kernel guy”

Copyright © 2006 - 2024 License
Powered by Hugo and Hyde-X

Как Process Explorer подменяет Task Manager

Mar 13, 2008 · Comments
ИнструментыМаленькие хитростиProcess ExplorerSysinternalsTask Manager

А знаете, как Process Explorer подменяет собой стандартный Task Manager?

Process Explorer: Replace Task Manager.

Оказывается всё очень просто и банально. Он устанавливает себя в качестве отладчика для taskmgr.exe!

Process Explorer is set as a

Преимущества такого метода перехвата:

  1. Подмена происходит в недрах CreateProcess. Неважно кто и как запускает taskmgr.exe, всегда будет запущен Process Explorer;

  2. Не нужно возиться Windows File Protection (WPF), пытаясь подменить исполняемый файл Task Manager’а в %windir%\system32.

Недостатки:

  1. Подмена происходит вне зависимости от реального местонахождения taskmgr.exe. Это может быть и не Task Manager вовсе, просто имя совпало. Все равно вместо него будет запущен Process Explorer;

  2. Имя запускаемого файла “taskmgr.exe” передается в командную строку подменяющего процесса. Т.е. так просто напрямую заменить notepad.exe на другой редактор не получится.

Но вообще-то очень остроумно сделано.

comments powered by Disqus