进程监视函数PsSetCreateProcessNotifyRoutine

最新推荐文章于 2021-12-10 00:26:05 发布
最新推荐文章于 2021-12-10 00:26:05 发布
阅读量3.4k 收藏 4
点赞数
分类专栏: 内核编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hjxyshell/article/details/17743873
版权

这两天看书,看到这个函数,感觉挺有意思,就测试了下。从便面意思来看PsSetCreateProcessNotifyRoutine 设置创建进程通知的函数。

The PsSetCreateProcessNotifyRoutine routine adds a driver-supplied callback routine to, or removes it from, a list of routines to be called whenever a process is created or deleted.
NTSTATUS
 PsSetCreateProcessNotifyRoutine(
   IN PCREATE_PROCESS_NOTIFY_ROUTINE  NotifyRoutine,
   IN BOOLEAN  Remove
   );

根据wdk可知,此函数可以设置一个回调函数,每当有进程建立或者进程关闭时,会调用该回调函数,因此可以用来简单的监视进程的创建于结束。

撸主简单的测试了下,写了个简单的小程序,设置回调函数,每当有新进程创建时,就结束新创建的进程,代码如下:

#include <ntddk.h>

//进程监视回调函数
VOID ProcessMonitorCallback(
						IN HANDLE hParentId,
						IN HANDLE hProcessId, 
						IN BOOLEAN bCreate)
{
	NTSTATUS status;
	HANDLE procHandle = NULL;
	CLIENT_ID ClientId;
	
	OBJECT_ATTRIBUTES Obja;
	Obja.Length = sizeof(Obja);
	Obja.RootDirectory = 0;
	Obja.ObjectName = 0;
	Obja.Attributes = 0;
	Obja.SecurityDescriptor = 0;
	Obja.SecurityQualityOfService = 0;
	
	ClientId.UniqueProcess = (HANDLE)hProcessId;
	ClientId.UniqueThread = 0;
	//不管创建什么程序都关闭程序
 if(bCreate)   //bCreate 为True表示创建程序
 {
 //调用函数ZwOpenProcess函数,通过进程pid号获得进程句柄
	
	status = ZwOpenProcess(&procHandle, PROCESS_ALL_ACCESS, &Obja, &ClientId);
	if(status == STATUS_INVALID_PARAMETER_MIX)
	 DbgPrint("STATUS_INVALID_PARAMETER_MIX\n");
	else if(status == STATUS_INVALID_CID)
	 DbgPrint("STATUS_INVALID_CID\n");
	else if(status == STATUS_INVALID_PARAMETER)
	 DbgPrint("STATUS_INVALID_PARAMETER\n");
	else if(status == STATUS_ACCESS_DENIED)
	 DbgPrint("STATUS_ACCESS_DENIED\n");
	else 
		DbgPrint("STATUS_SUCCESS\n");
		
	if(procHandle != NULL)
		status = ZwTerminateProcess(procHandle,1);
	else
	{
		DbgPrint("failed to ZwOpenProcess...\n");
		return ;
	}
	//这里是我来判断没有成功结束进程用的
	switch(status)
	{
	 case STATUS_SUCCESS:
		DbgPrint("process %u has beed killed ...\n",hProcessId);
		break;
	 case STATUS_OBJECT_TYPE_MISMATCH:
		DbgPrint("failed to kill %u process,The specified handle is not a process handle. \n",hProcessId);
		break;
	 case STATUS_INVALID_HANDLE:
		DbgPrint("failed to kill %u process,The specified handle is not valid.\n",hProcessId);
		break;
	 case STATUS_ACCESS_DENIED:
		DbgPrint("failed to kill %u process,The driver cannot access the specified process object.\n",hProcessId);
		break;
	 case STATUS_PROCESS_IS_TERMINATING:
		DbgPrint("failed to kill %u process,The specified process is already terminating.\n",hProcessId);
		break;
	 default:
		break;
	}
	
		
	
 }
}
//驱动卸载函数
void DriverUnload(PDRIVER_OBJECT pDriveObj)
{
//取消监视
	PsSetCreateProcessNotifyRoutine(ProcessMonitorCallback,TRUE);
	DbgPrint("driver unloaded ...\n");
}
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObj, PUNICODE_STRING pRegisterString)
{
	NTSTATUS status = STATUS_SUCCESS;
	//驱动卸载处理
	pDriverObj->DriverUnload = DriverUnload;
	status = PsSetCreateProcessNotifyRoutine(ProcessMonitorCallback,FALSE);
	return status;
}

回调函数有三个参数,父进程pid号,该进程的pid号,还有一个创建或者结束进程的标志。

通过pid,调用函数ZwOpenProcess,获得进程的句柄,最后调用函数ZwTerminateProcess,结束新创建的进程(由于开始测试时,程序没有正确执行,撸主就打印了写信息,用来判断错误信息)

测试结果如下:


寒江雪语
关注
专栏目录
监控系统所有进程的创建和销毁 (PsSetCreateProcessNotifyRoutine)
快乐工作,精彩生活
05-13 1883
<br />使用驱动方式,在原来的ProcObsrv.c基础上进行了完善,所有进程的创建和销毁都不会丢失,能完全捕获到。<br /> <br />具体代码如下:<br /> <br />//---------------------------------------------------------------------------<br />//<br />// ProcObsrv.c<br />//<br />// SUBSYSTEM: <br />//    System monitor<br
PsSetCreateProcessNotifyRoutine妙用
yushiqiang1688的专栏
01-18 1万+
最近要做一个进程监控的程序,功能很简单,就是创建和退出进程的时候,能触发我们的事件。首先的第一想法,是Hook ZwCreateProcess,结果调试的时候发现,很多创建进程的动作,并没有通过这个API执行,所以自然就是没办法监控进程的创建,于是回到本质,从创建进程的动作过程来分析,创建新的进程,其大致要经历以下步骤:(1)打开可执行文件,以FILE_EXECUTE权限打开;(2)将
基于PsSetCreateProcessNotifyRoutineEx实现监控进程创建并阻止创建(禁用QQ 360等exe可执行文件)
苞米地里捉小鸡的博客
09-20 2995
对于内核层实现监控进程的创建或者退出,你可能第一时间会想到 HOOK 内核函数 ZwOpenProcess、ZwTerminateProcess 等。确定,在内核层中的 HOOK 已经给人留下太多深刻的印象了,有 SSDT HOOK、Inline HOOK、IRP HOOK、过滤驱动等等。 但是,Windows 其实给我们提供现成的内核函数接口,方便我们在内核下监控用户层上进程的创建和退出的情况。即 PsSetCreateProcessNotifyRoutineEx 内核函数,可以设置一个回调函数,来监控
[原创]通过PsSetCreateProcessNotifyRoutineEx和PsSetCreateThreadNotifyRoutine实现进程与线程监控
追逐光芒,追随内心
12-10 1871
PsSetCreateProcessNotifyRoutineEx是Windows提供得一个可以通过设置回调函数实现进程监控的内核API。其在文档的定义如下: 1 2 3 4 5 NTSTATUS PsSetCreateProcessNotifyRoutineEx( INPCREATE_PROCESS_NOTIFY_ROUTINE_EXNotifyRoutine, INBOOLEAN...
进程监控驱动 PsSetCreateProcessNotifyRoutine
09-02 1693
函数原型: NTSTATUS PsSetCreateProcessNotifyRoutine( _In_ PCREATE_PROCESS_NOTIFY_ROUTINE NotifyRoutine, _In_ BOOLEAN Remove ); 原文的解释为:The PsSetCreateProcessNotifyRoutine routine...
PsSetCreateProcessNotifyRoutineEx进程监控框架
Cosmopolitan的博客
10-08 1717
vs设置:“项目-属性-链接器-命令行”位置添加 /INTEGRITYCHECK 即可,不然注册回调的时候会失败 参考:https://xiaodaozhi.com/kernel/18.html #include <ntddk.h> typedef NTSTATUS (*PPsSetCreateProcessNotifyRoutineEx)( _In_ PCREATE_PROCESS...
驱动层PsSetCreateProcessNotifyRoutine监视进程 ,返回应用层
ShadowAssassin的专栏
01-04 3303
源程序大致过程如下: 1、驱动程序调用函数PsSetCreateProcessNotifyRoutine  设置监视进程的回调函数ProcessMonitorCallback  ,当应用层有进程创建时,驱动程序调用回调函 数ProcessMonitorCallback获得新建或者结束的进程信息,将信息存放到扩展结构中,以便通过method_buffer方式传回应用层。 2、当
PsSetCreateProcessNotifyRoutineEx 防多开
sanqiuai的博客
09-06 995
这个函数的功能是设置一个回调钩子,该钩子会在进程创建和进程销毁时被调用,钩子由用户提供 API格式 NTSTATUS PsSetCreateProcessNotifyRoutineEx( PCREATE_PROCESS_NOTIFY_ROUTINE_EX NotifyRoutine, BOOLEAN Remove ); NotifyRoutine 是IN,传入用户指定的回调钩子 Remove 是IN ,创建回调钩子时传FALSE,创建了肯定需要在
扩展内核函数 PsSetCreateProcessNotifyRoutine 等的蹲坑数量
12-01
其中,`PsSetCreateProcessNotifyRoutine`是一个重要的内核级函数,用于注册一个回调函数,该函数会在进程创建或退出时被调用,为系统提供了对进程生命周期的监控能力。 `PsSetCreateProcessNotifyRoutine`函数的...
安全稳定的实现进线程监控.zip_MyCopyHook.rar_create process_sys文件_监视 进程_驱动进程
09-24
在XP后,微软给出了一个函数PsRemoveCreateThreadNotifyRoutine用来清除线程监视函数(清除进程监视的就是PsSetCreateProcessNotifyRoutine).我一直奇怪ICESWORD在2000中是怎么做到进线程监视的.后来才发现,在运行...
精选_枚举并删除系统上PsSetCreateThreadNotifyRoutine回调_源码打包
03-11
枚举并删除系统上PsSetCreateThreadNotifyRoutine回调
监控进程启动退出
03-06
通过PsSetCreateProcessNotifyRoutine实现的一个简单的监控进程启动退出的功能
编写进程/线程监视
11-03
3. **加载模块通知**:除了进程和线程的监视,系统还提供了模块加载的通知机制,通过`PsSetLoadImageNotifyRoutine()` 注册回调函数,可以在模块加载到进程中时收到通知。 4. **`EPROCESS` 结构体分析**:`EPROCESS...
利用ObRegisterCallbacks保护进程并附上突破ObRegisterCallbacks的方法[未更新]
zhuhuibeishadiao
05-02 9258
写上未更新的原因是我觉得 当初写这篇文章的时候理解的还是不够彻底,现在又了新的认识,待老夫有时间的时候在来重写一次 这里附上新的突破方法 我已经我写的时候已经写上了 今天发到博客的时候才发现没写,来补上 可以看我发到梦老大论坛的帖子,直接看第三种方法就行,前面两种我都服了,这样获取对象类型,太年轻啊 http://www.mengwuji.net/forum.php?mod=viewthr
使用PsSetCreateProcessNotifyRoutine检测隐藏进程
zacklin的专栏
06-11 3397
PsSetCreateProcessNotifyRoutine是DDK里的一个函数,“顾名思义”这个函数的功能是向系统注册一个回调函数(Call Back Function),每当有进程创建的时候,系统就会调用这个回调函数。这个回调函数执行的操作完全由程序员自己来决定。我们先看一下这个回调函数函数签名 PsSetCreateProcessNotifyRoutineVOID(*PCREATE
PsSetCreateProcessNotifyRoutine监控进程创建
Sven的忘却日记
09-25 5474
PsSetCreateProcessNotifyRoutine函数用来注册一个进程创建的回调函数,当有新从进程被创建时,就把父进程的ID,和子进程(被创建的进程)ID传给回调函数,通过回调函数,可以监控新创建的进程 NTSTATUS PsSetCreateProcessNotifyRoutine( _In_ PCREATE_PROCESS_NOTIFY_ROUTINE NotifyRouti...
监视进程函数(API扫描进程映射表)
tiger9991的专栏
09-19 1854
int MyWatch(char * thread_name) { PROCESSENTRY32 pe32; char * mychar; BOOL bstart=TRUE; HANDLE hProcessSnap; while(1) { pe32.dwSize=sizeof(pe32); hProcessSnap
进程控制函数(fork、getpid、execl)
qq_41864116的博客
08-06 1258
进程控制
ZwQuerySystemInformation 函数查看进程列表
热门推荐
ShadowAssassin的专栏
12-14 1万+
程序主要应用函数  ZwQuerySystemInformation  实现的,这也是window内核的一个很重要,结构很复杂的函数函数原型 如下: //声明ZqQueryAyatemInformation NTSTATUS ZwQuerySystemInformation( I
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值