PsSetCreateProcessNotifyRoutine监控进程创建

最新推荐文章于 2021-12-10 00:26:05 发布
最新推荐文章于 2021-12-10 00:26:05 发布
阅读量5.4k 收藏 6
点赞数 1
分类专栏: 内核开发 文章标签: PsSetCreateProcessNotifyRoutine
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cssxn/article/details/101352152
版权

PsSetCreateProcessNotifyRoutine函数用来注册一个进程创建的回调函数,当有新从进程被创建时,就把父进程的ID,和子进程(被创建的进程)ID传给回调函数,通过回调函数,可以监控新创建的进程

NTSTATUS PsSetCreateProcessNotifyRoutine(
  _In_  PCREATE_PROCESS_NOTIFY_ROUTINE NotifyRoutine,
  _In_  BOOLEAN Remove
);

想要实现的功能:新进程被系统创建时,打印出父进程和子进程的名字

在回调函数中可以直接获取两个进程的PID,但是要想通过PID得到进程名字,也有很多种方式。
但最简单的是还是通过PsLookupProcessByProcessId函数来根据PID获取EPROCESS结构体,然后可以直接通过结构体+偏移的方式读取到该进程的名字。

需要注意的是,在使用PsLookupProcessByProcessId得到一个 EPROCESS结构以后,系统会对该进程的引用计数累加1,需要在不使用该结构时,及时调用ObDereferenceObject解除引用计数

也可以使用PsGetProcessImageFileName函数来获取,其内部实现原理也是通过EPROCESS+偏移的方式得到的进程名字

进程名字在EPROCESS结构体偏移0x16C的位置,可能不同的系统版本,偏移会有区别。
在这里插入图片描述
再来看PsGetProcessImageFileName函数的反汇编,是不是也贼简单:
[图片]
效果:
在这里插入图片描述

完整代码:

extern NTSYSAPI PUCHAR NTAPI PsGetProcessImageFileName(PEPROCESS Process);


// 监控进程创建回调函数
VOID CreateProcessNotify(IN HANDLE  ParentId, IN HANDLE  ChildId, IN BOOLEAN  Create)
{
    PEPROCESS ParentEprocess = NULL;
    PEPROCESS ChildEprocess = NULL;
    NTSTATUS status;
    if (Create)
    {
        
        // 获取EPROCESS结构体
        status = PsLookupProcessByProcessId(ParentId, &ParentEprocess);
        if (!NT_SUCCESS(status))
        {
            KdPrint(("Get Parent Eprocess Failed\n"));
            return;
        }
        status = PsLookupProcessByProcessId(ChildId, &ChildEprocess);
        if (!NT_SUCCESS(status))
        {
            KdPrint(("Get Child Eprocess Failed\n"));
            return;
        }

        // 通过EPROCESS获取进程名
        KdPrint((
            "ParentName:%s---> ChildName:%s\n",
            PsGetProcessImageFileName(ParentEprocess),
            PsGetProcessImageFileName(ChildEprocess)
            ));

        ObDereferenceObject(ParentEprocess);
        ObDereferenceObject(ChildEprocess);
    }
}


VOID DriverUnload(PDRIVER_OBJECT driver)
{
    // 卸载时,移除回掉
    PsSetCreateProcessNotifyRoutine(CreateProcessNotify, TRUE);
    DbgPrint("first: Our driver is unloading...\r\n");
}


NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING reg_path)
{
    DbgBreakPoint();

    PsSetCreateProcessNotifyRoutine(CreateProcessNotify, FALSE);
   
    pDriver->DriverUnload = DriverUnload;

    return STATUS_SUCCESS;
}
FFE4
关注
专栏目录
监控系统所有进程创建和销毁 (PsSetCreateProcessNotifyRoutine)
快乐工作,精彩生活
05-13 1865
<br />使用驱动方式,在原来的ProcObsrv.c基础上进行了完善,所有进程创建和销毁都不会丢失,能完全捕获到。<br /> <br />具体代码如下:<br /> <br />//---------------------------------------------------------------------------<br />//<br />// ProcObsrv.c<br />//<br />// SUBSYSTEM: <br />//    System monitor<br
Win64 驱动内核编程-12.回调监控进线程创建和退出
天使也掉毛
03-12 4189
回调监控进线程创建和退出     两个注册回调的函数:PsSetCreateProcessNotifyRoutine   进程回调PsSetCreateThreadNotifyRoutine    线程回调分别对应的回调函数类型: VOID MyCreateProcessNotify ( IN HANDLE ParentId, IN HANDLE ProcessId, IN BOOLEA
进程监控驱动 PsSetCreateProcessNotifyRoutine
09-02 1686
函数原型: NTSTATUS PsSetCreateProcessNotifyRoutine( _In_ PCREATE_PROCESS_NOTIFY_ROUTINE NotifyRoutine, _In_ BOOLEAN Remove ); 原文的解释为:The PsSetCreateProcessNotifyRoutine routine...
PsSetCreateProcessNotifyRoutine妙用
热门推荐
yushiqiang1688的专栏
01-18 1万+
最近要做一个进程监控的程序,功能很简单,就是创建和退出进程的时候,能触发我们的事件。首先的第一想法,是Hook ZwCreateProcess,结果调试的时候发现,很多创建进程的动作,并没有通过这个API执行,所以自然就是没办法监控进程创建,于是回到本质,从创建进程的动作过程来分析,创建新的进程,其大致要经历以下步骤:(1)打开可执行文件,以FILE_EXECUTE权限打开;(2)将
PsSetCreateProcessNotifyRoutineEx 防多开
sanqiuai的博客
09-06 983
这个函数的功能是设置一个回调钩子,该钩子会在进程创建进程销毁时被调用,钩子由用户提供 API格式 NTSTATUS PsSetCreateProcessNotifyRoutineEx( PCREATE_PROCESS_NOTIFY_ROUTINE_EX NotifyRoutine, BOOLEAN Remove ); NotifyRoutine 是IN,传入用户指定的回调钩子 Remove 是IN ,创建回调钩子时传FALSE,创建了肯定需要在
[原创]通过PsSetCreateProcessNotifyRoutineEx和PsSetCreateThreadNotifyRoutine实现进程与线程监控
追逐光芒,追随内心
12-10 1842
PsSetCreateProcessNotifyRoutineEx是Windows提供得一个可以通过设置回调函数实现进程监控的内核API。其在文档的定义如下: 1 2 3 4 5 NTSTATUS PsSetCreateProcessNotifyRoutineEx( INPCREATE_PROCESS_NOTIFY_ROUTINE_EXNotifyRoutine, INBOOLEAN...
PsSetCreateProcessNotifyRoutineEx进程监控框架
Cosmopolitan的博客
10-08 1705
vs设置:“项目-属性-链接器-命令行”位置添加 /INTEGRITYCHECK 即可,不然注册回调的时候会失败 参考:https://xiaodaozhi.com/kernel/18.html #include <ntddk.h> typedef NTSTATUS (*PPsSetCreateProcessNotifyRoutineEx)( _In_ PCREATE_PROCESS...
VC实现创建进程并控制
08-18
在实际应用中,你可能还需要处理各种异常情况,例如进程创建失败、找不到对应进程的窗口等。此外,对窗口的操作通常包括发送消息、改变窗口样式、调整大小、移动位置等,这些都可以通过`SendMessage`, `...
监控进程启动退出
03-06
首先,我们要了解`PsSetCreateProcessNotifyRoutine`是Windows内核API的一部分,它允许开发者注册一个回调函数,该函数会在系统中的任何进程创建或退出时被调用。这个函数是内核模式驱动程序所使用的,因此需要具备...
扩展内核函数 PsSetCreateProcessNotifyRoutine 等的蹲坑数量
12-01
其中,`PsSetCreateProcessNotifyRoutine`是一个重要的内核级函数,用于注册一个回调函数,该函数会在进程创建或退出时被调用,为系统提供了对进程生命周期的监控能力。 `PsSetCreateProcessNotifyRoutine`函数的...
精选_枚举并删除系统上PsSetCreateThreadNotifyRoutine回调_源码打包
03-11
枚举并删除系统上PsSetCreateThreadNotifyRoutine回调
驱动层PsSetCreateProcessNotifyRoutine监视进程 ,返回应用层
ShadowAssassin的专栏
01-04 3285
源程序大致过程如下: 1、驱动程序调用函数PsSetCreateProcessNotifyRoutine  设置监视进程的回调函数ProcessMonitorCallback  ,当应用层有进程创建时,驱动程序调用回调函 数ProcessMonitorCallback获得新建或者结束的进程信息,将信息存放到扩展结构中,以便通过method_buffer方式传回应用层。 2、当
进程监视函数PsSetCreateProcessNotifyRoutine
ShadowAssassin的专栏
01-02 3415
这两天看书,看到这个函数,感觉挺有意思,就测试了下。从便面意思来看PsSetCreateProcessNotifyRoutine 设置创建进程通知的函数。 The PsSetCreateProcessNotifyRoutine routine adds a driver-supplied callback routine to, or removes it from, a list of
基于PsSetCreateProcessNotifyRoutineEx实现监控进程创建并阻止创建(禁用QQ 360等exe可执行文件)
苞米地里捉小鸡的博客
09-20 2942
对于内核层实现监控进程创建或者退出,你可能第一时间会想到 HOOK 内核函数 ZwOpenProcess、ZwTerminateProcess 等。确定,在内核层中的 HOOK 已经给人留下太多深刻的印象了,有 SSDT HOOK、Inline HOOK、IRP HOOK、过滤驱动等等。 但是,Windows 其实给我们提供现成的内核函数接口,方便我们在内核下监控用户层上进程创建和退出的情况。即 PsSetCreateProcessNotifyRoutineEx 内核函数,可以设置一个回调函数,来监控
创建/结束进程回调 PsSetCreateProcessNotifyRoutine
dingji2919的博客
11-25 512
PsSetCreateProcessNotifyRoutine PsSetCreateProcessNotifyRoutine添加或者移除一个驱动支持的回调例程(也可以成为函数)。 当一个进程创建或者删除时,一系列的例程将会被调用。PS:相当于把例程加入到一个链表中,当进程创建或者删除时,所有的例程都会被调用(应该是这个意思) NTSTATUSPsSetCreateProcessNo...
使用PsSetCreateProcessNotifyRoutine检测隐藏进程
zacklin的专栏
06-11 3385
PsSetCreateProcessNotifyRoutine是DDK里的一个函数,“顾名思义”这个函数的功能是向系统注册一个回调函数(Call Back Function),每当有进程创建的时候,系统就会调用这个回调函数。这个回调函数执行的操作完全由程序员自己来决定。我们先看一下这个回调函数的函数签名 PsSetCreateProcessNotifyRoutineVOID(*PCREATE
PsSetProcessCreateNotifyRoutineEx
yymiaoxin2010的博客
06-09 286
PsSetProcessCreateNotifyRoutineEx返回错误c0000022 项目->属性->链接器->命令行 添加 “/INTEGRITYCHECK”
x32下逆向 PsSetCreateProcessNotifyRoutine 进程钩子
weixin_30836759的博客
07-28 516
目录 一丶前言 二丶逆向过程 1.windbg挂载 win7 32位.定位到函数反汇编位置 2.逆向 PspSetCreateProcessNotifyRoutine 3.逆向 ExReferenceCallBackBlock 三丶总结 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值