驱动层PsSetCreateProcessNotifyRoutine监视进程 ,返回应用层

最新推荐文章于 2023-06-24 13:46:34 发布
最新推荐文章于 2023-06-24 13:46:34 发布
阅读量3.1k 收藏 8
点赞数 3
分类专栏: 内核编程 文章标签: 驱动 内核 通信 进程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hjxyshell/article/details/17849979
版权

源程序大致过程如下:


1、驱动程序调用函数PsSetCreateProcessNotifyRoutine  设置监视进程的回调函数ProcessMonitorCallback  ,当应用层有进程创建时,驱动程序调用回调函

数ProcessMonitorCallback获得新建或者结束的进程信息,将信息存放到扩展结构中,以便通过method_buffer方式传回应用层。


2、当回调函数ProcessMonitorCallback执行并获得进程相关信息后,调用KeSetEvent(pDevExt->ProcessEvent,0,FALSE); ,将事件设置为授信状态,

应用程函数WaitForSingleObject(hProcessEvent,INFINITE)不断监视,收到通知后,调用 DeviceIoControl 函数向驱动层发送消息,取回结果。

代码如下:

头文件:

//
///
#define  IOCTL_NTPROCDRV_GET_PROCINFO \
	CTL_CODE(FILE_DEVICE_UNKNOWN,0x800,METHOD_BUFFERED,FILE_READ_ACCESS|FILE_WRITE_ACCESS)

//结构体,用户与内核交互的缓冲区格式,将这个结构向用户层返回进程信息
typedef struct _CallbackInfo
{
	HANDLE hParentId;
	HANDLE hProcessId;
	BOOLEAN bCreate;
}CallbackInfo,*pCallbackInfo;


应用层:

 

#include <Windows.h>
#include <stdio.h>
#include <WinIoCtl.h>
#include "monitorProc.h"
#pragma comment(lib,"Advapi32.lib") 
int main()
{
	//获取驱动程序的monitorProc.sys的完成目录
	//在当前目录下
	char szDriverPath[256];
	char szLinkName[] = "slinkMonitorProc";
	char *p;
	GetFullPathName("monitorProc.sys",256,szDriverPath,&p);
	//打开scm管理器
	SC_HANDLE hScm = OpenSCManager(NULL,NULL,SC_MANAGER_ALL_ACCESS);
	if(hScm == NULL)
	{
		printf("打开服务控制管理器失败,可能因为你不具有administrator权限\n");
		return -1;
	}
	//创建或打开服务
	SC_HANDLE hService = CreateService(
								hScm,
								szLinkName,
								szLinkName,
								SC_MANAGER_ALL_ACCESS,
								SERVICE_KERNEL_DRIVER,
								SERVICE_DEMAND_START,
								SERVICE_ERROR_IGNORE,
								szDriverPath,
								NULL,
								NULL,
								NULL,
								NULL,
								NULL);
	if(hService == NULL)
	{
		int nError = GetLastError();
		if(nError == ERROR_SERVICE_EXISTS || nError == ERROR_SERVICE_MARKED_FOR_DELETE)
		{
			hService = OpenService(hScm,szLinkName,SERVICE_ALL_ACCESS);
		}
	}
	if(hService == NULL)
	{
		printf("创建服务失败!\n");
		return -1;
	}
	//启动服务
	if(!StartService(hService,0,NULL))
	{
		int nError = GetLastError();
		if(nError == ERROR_SERVICE_ALREADY_RUNNING)
		{
			printf("服务已经在运行!\n");
			return -1;
		}
	}
	//打开到驱动的所控设备的句柄
	char sz[256]="";
	sprintf(sz,"\\\\.\\%s",szLinkName);
	HANDLE hDriver = CreateFile(
								sz,
								GENERIC_READ|GENERIC_WRITE,
								0,
								NULL,
								OPEN_EXISTING,
								FILE_ATTRIBUTE_NORMAL,
								NULL
								);
	if(hDriver == INVALID_HANDLE_VALUE)
	{
		printf("打开设备失败!\n");
		return -1;
	}
	//打开时间内核对象,等待驱动程序通知
	HANDLE hProcessEvent = OpenEvent(SYNCHRONIZE,FALSE,"MonitorProcEvent");
	CallbackInfo callbackinfo={0},callbacktemp ={0};
	while(WaitForSingleObject(hProcessEvent,INFINITE) == WAIT_OBJECT_0)
	{
		printf("here message coming!!\n ");
		printf("before recive callbackinfo->hProcesssId = %d\n",callbackinfo.hProcessId);
		//想驱动发送控制代码
		DWORD nBytesReturn;
		BOOL bRet = DeviceIoControl(
								hDriver,
								IOCTL_NTPROCDRV_GET_PROCINFO,
								NULL,
								0,
								&callbackinfo,
								sizeof(callbackinfo),
								&nBytesReturn,
								NULL);
		printf("recive buffer length bBytesReturn = %d\n",nBytesReturn);
		if(bRet)
		{
			if(callbackinfo.hParentId != callbacktemp.hParentId || \
				callbackinfo.hProcessId !=callbacktemp.hProcessId ||\
				callbackinfo.bCreate != callbacktemp.bCreate)
			{
				if(callbackinfo.bCreate)
				{
					printf("有进程被创建, pid :%d\n",callbackinfo.hProcessId);
					
				}
				else
				{
					printf("有进程被结束, pid : %d \n",callbackinfo.hProcessId);
				}
				callbacktemp = callbackinfo;
			}
			else
			{
				printf("callbacktemp.hProcessId = %d\ncallbackinfo.hProcessId = %d\n",callbacktemp.hProcessId,callbackinfo.hProcessId);
			}
		}
		else
		{
			printf("获取进程信息失败 !\n");
			break;
		}
	}
	CloseHandle(hDriver);
	//服务完全停止运行
	SERVICE_STATUS ss;
	ControlService(hService,SERVICE_CONTROL_STOP,&ss);
	//从scm数据库中删除服务
	DeleteService(hService);
	CloseServiceHandle(hService);
	CloseServiceHandle(hScm);
	return 0;
}
驱动层: 

#include <ntddk.h>
#include <devioctl.h>
#include "monitorProc.h"

//定义驱动名称,符号链接名称,事件对象名称
#define DEVICE_NAME L"\\Device\\devMonitorProc"
#define LINK_NAME L"\\DosDevices\\slinkMonitorProc"

#define EVENT_NAME L"\\BaseNamedObjects\\MonitorProcEvent"

//设备对象扩展结构,存放一些必要信息
typedef struct _DEVICE_EXTENSION 
{
	HANDLE hProcessHandle;//事件对象句柄
	PKEVENT ProcessEvent;// 用于和内核通信事件的对象指针
	HANDLE hPParentId;   //在回调函数中保存进程信息,传递给用户层
	HANDLE hPProcessId;
	BOOLEAN bPCreate; //true表示进程被创建,false表示进程被删除
}DEVICE_EXTENSION,*PDEVICE_EXTENSION;
//定义全局的设备对象指针
PDEVICE_OBJECT g_pDeviceObject;

//直接返回完成信息	
NTSTATUS DispatchCreateClose(PDEVICE_OBJECT pDevObj, PIRP pIrp)
{
	pIrp->IoStatus.Status = STATUS_SUCCESS;
	//完成此请求
	IoCompleteRequest(pIrp,IO_NO_INCREMENT);
	return STATUS_SUCCESS;
}
//I/O派遣历程处理
NTSTATUS DispatchIoctl(PDEVICE_OBJECT pDevObj, PIRP pIrp)
{
	DbgPrint("monitorProc : DispatchIotcl...\n");
	//默认返回失败
	NTSTATUS status = STATUS_INVALID_DEVICE_REQUEST;
	//取得此IRP的I/O堆栈指针
	PIO_STACK_LOCATION pIrpStack = IoGetCurrentIrpStackLocation(pIrp);
	//取得设备扩展结构指针
	PDEVICE_EXTENSION pDevExt = (PDEVICE_EXTENSION)pDevObj->DeviceExtension;
	//获取I/O控制代码
	ULONG uIoContrlCode = pIrpStack->Parameters.DeviceIoControl.IoControlCode;
	//取得I/O缓冲区的指针和其长度
	pCallbackInfo pCallbackInfoBuff = (pCallbackInfo)pIrp->AssociatedIrp.SystemBuffer;
	ULONG uInSize = pIrpStack->Parameters.DeviceIoControl.InputBufferLength;//输入缓冲区长度
	ULONG uOutSize = pIrpStack->Parameters.DeviceIoControl.OutputBufferLength;//输出缓冲区长度
	switch(uIoContrlCode)
	{
	case IOCTL_NTPROCDRV_GET_PROCINFO:   //想用户程序返回有事件发生的进程信息
		{
			if(uOutSize >= sizeof(CallbackInfo)) //输出缓冲区长度要大于返回结构大小
			{
				pCallbackInfoBuff->hParentId = pDevExt->hPParentId;
				pCallbackInfoBuff->hProcessId = pDevExt->hPProcessId;
				pCallbackInfoBuff->bCreate = pDevExt->bPCreate;
				status = STATUS_SUCCESS;
			}
			DbgPrint("dispatch pcallbackinfobufff->hProcessId = %d\n",pCallbackInfoBuff->hProcessId);

		}
		break;
	}
	if(status == STATUS_SUCCESS)
		pIrp->IoStatus.Information = uOutSize;
	else
		pIrp->IoStatus.Information = 0;
	//完成请求
	pIrp->IoStatus.Status = status;
	IoCompleteRequest(pIrp,IO_NO_INCREMENT);
	return status;
}
//进程监视回调函数
VOID ProcessMonitorCallback(
						IN HANDLE hParentId,
						IN HANDLE hProcessId, 
						IN BOOLEAN bCreate)
{
	//得到设备扩展的结构指针
	PDEVICE_EXTENSION pDevExt = (PDEVICE_EXTENSION)g_pDeviceObject->DeviceExtension;
	//处理当前的设备扩展结构,传给应用层
	pDevExt->hPParentId = hParentId;
	pDevExt->hPProcessId = hProcessId;
	pDevExt->bPCreate = bCreate;
	DbgPrint("hProcessId = %d\n",hProcessId);
	//出发这个时间,通知应用层监听程序
	KeSetEvent(pDevExt->ProcessEvent,0,FALSE);
	//设置为非授信状态
	KeClearEvent(pDevExt->ProcessEvent);

}
//驱动卸载函数
void DriverUnload(PDRIVER_OBJECT pDriveObj)
{
	PsSetCreateProcessNotifyRoutine(ProcessMonitorCallback,TRUE);
	//删除设备连接符号
	UNICODE_STRING strLink;
	RtlInitUnicodeString(&strLink,LINK_NAME);
	IoDeleteSymbolicLink(&strLink);
	IoDeleteDevice(pDriveObj->DeviceObject); //删除设备对象
	DbgPrint("driver unloaded ...\n");
}
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObj, PUNICODE_STRING pRegisterString)
{
	NTSTATUS status = STATUS_SUCCESS;
	//初始化各个历程
	pDriverObj->MajorFunction[IRP_MJ_CREATE] = DispatchCreateClose;
	pDriverObj->MajorFunction[IRP_MJ_CLOSE] = DispatchCreateClose;
	pDriverObj->MajorFunction[IRP_MJ_DEVICE_CONTROL] = DispatchIoctl;
	pDriverObj->DriverUnload = DriverUnload;
	//创建,并出事换设备对象
	UNICODE_STRING strDevName;
	RtlInitUnicodeString(&strDevName,DEVICE_NAME);
	//创建设备对象
	PDEVICE_OBJECT pDevObj;
	status = IoCreateDevice(
						pDriverObj,
						sizeof(DEVICE_EXTENSION),//为设备国战结构申请空间
						&strDevName,
						FILE_DEVICE_UNKNOWN,
						0,
						FALSE,
						&pDevObj
						);
	if(!NT_SUCCESS(status))
	{
		return status;
	}
	PDEVICE_EXTENSION pDevExt = (PDEVICE_EXTENSION)pDevObj->DeviceExtension;
	//创建符号链接
	UNICODE_STRING strLinkName;
	RtlInitUnicodeString(&strLinkName,LINK_NAME);
	//创建 关联
	status = IoCreateSymbolicLink(&strLinkName,&strDevName);
	if(!NT_SUCCESS(status))
	{
		IoDeleteDevice(pDevObj);
		return status;
	}
	//将设备指针保存到全局变量中,方便后续使用
	g_pDeviceObject = pDevObj;
	//为了能够监视用户层进程,创建事件对象
	UNICODE_STRING szProcessEventString;
	RtlInitUnicodeString(&szProcessEventString,EVENT_NAME);
	//此函数待查
	pDevExt->ProcessEvent = IoCreateNotificationEvent(&szProcessEventString,&pDevExt->hProcessHandle);
	//设置非授信状态
	KeClearEvent(pDevExt->ProcessEvent);
	//设置回调函数历程
	status = PsSetCreateProcessNotifyRoutine(ProcessMonitorCallback,FALSE);
	return status;
}

 

寒江雪语
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
64位下使用回调函数实现监控(上)
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
03-22 554
在32位的系统下,我们想要实现某些监控十分简单,只需要找到对应的API实现挂钩操作即可检测进程。但在64位系统下随着的引入,导致我们如果继续使用挂钩API的方式进行监控会出现不可控的情况发生。微软也考虑到了用户程序的开发,所以开放了方便用户调用的系统回调API函数,在64位系统下的监控,使用系统回调相对于直接hook的方式往往是更值得青睐的一方。
监视远程线程的创建[收藏]
Purpleendurer@CSDN
03-09 2174
监视远程线程的创建作者: 一块三毛钱邮件: zhongts@163.com日期: 2004.12.29    远程线程技术被大量的使用在木马、蠕虫等软件当中,通过在别的进程中插入线程的方式运行代码,具有相当高的隐蔽性。比如常见的 Explorer.exe 进程中有十几个线程同时运行,在其中插入一个线程后,谁也分辨不出来哪个就是插入的远程线程。本文提供了一种方法可以监视远程线程的创建活动,记录下来远
创建/结束进程回调 PsSetCreateProcessNotifyRoutine
dingji2919的博客
11-25 500
PsSetCreateProcessNotifyRoutine PsSetCreateProcessNotifyRoutine添加或者移除一个驱动支持的回调例程(也可以成为函数)。 当一个进程被创建或者删除时,一系列的例程将会被调用。PS:相当于把例程加入到一个链表中,当进程被创建或者删除时,所有的例程都会被调用(应该是这个意思) NTSTATUSPsSetCreateProcessNo...
驱动开发:内核监控进程与线程创建
CSDN
10-14 9098
监控进程的启动与退出可以使用 `PsSetCreateProcessNotifyRoutineEx` 来创建回调,当新进程产生时,回调函数会被率先执行,然后执行我们自己的`MyCreateProcessNotifyEx`函数,并在内部进行打印输出。而检测线程操作与检测进程差不多,检测线程需要调用`PsSetCreateThreadNotifyRoutine` 创建回调函数,然后就可以检测线程的创建了。
驱动保护 -- 通过PID保护指定进程
weixin_41489908的博客
04-08 1292
1、添加一个编辑框输入要保护的进程PID,并添加两个按钮,一个保护进程,一个解除保护。1、声明一个受保护的进程PID数组。9、通过控制码实现添加和删除保护。10、添加和删除的代码具体实现。6、将函数在头文件声明一下。2、右击编辑框,添加变量。2、添加PID到保护函数。5、PID是否受保护函数。3、双击解除进程保护按钮。3、删除PID保护函数。4、清空PID保护函数。2、双击保护进程按钮。
驱动开发:内核强制结束进程运行
CSDN
10-29 1万+
内核态,但有时我们不得不想办法结束掉这些特殊的进程,当然某些正常进程在特殊状态下也会无法被正常结束,此时使用驱动前行在内核态将其结束掉就变得很有用了,驱动结束进程有多种方法。存在时则可以看到结束效果,当然这种方式只是在内核面调用了结束进程函数,其本质上还是正常结束,只是这种方式权限要大一些仅此而已。没有被导出,所以我们需要动态的这个内存地址,然后动态调用即可,这个寻找方法可以总结为以下步骤。第二种方法,其原理就是将进程内的线程全部结束掉从而让进程自动结束,由于。首先是第一种方法结束进程,封装实现。
安全稳定的实现进线程监控.zip_MyCopyHook.rar_create process_sys文件_监视 进程_驱动进程
09-24
PsSetCreateProcessNotifyRoutine,PsSetCreateThreadNotifyRoutine来进行进程线程监控我想大家已经都非常熟练了.sinister在编写进程/线程监视器>>一文中已经实现得很好了.前一段时间看到网上有人在研究监视远线程...
监控进程启动退出
03-06
总之,`PsSetCreateProcessNotifyRoutine`为Windows内核驱动开发者提供了一种强大的工具,用于实时监控系统中的进程活动。虽然这种方法涉及复杂的内核编程,但其带来的好处——包括系统洞察、安全控制和定制化处理...
VC实现创建进程并控制
08-18
在Windows操作系统中,进程是程序执行的实例,每个运行中的应用程序都对应一个或多个进程。VC++(Visual C++)作为Microsoft开发的一款强大的C++集成开发环境,可以用来创建和控制进程。本篇文章将深入探讨如何使用...
扩展内核函数 PsSetCreateProcessNotifyRoutine 等的蹲坑数量
12-01
- **进程管理**:理解进程的生命周期,包括创建、运行、等待、结束等状态,并知道如何监视和影响这些状态。 - **安全与稳定性**:在内核级别进行操作时,安全性与稳定性至关重要。必须确保代码不会导致系统崩溃或...
郁金香vc过驱动保护
05-15
此外,郁金香驱动还利用PsSetCreateProcessNotifyRoutinePsSetCreateThreadNotifyRoutinePsSetLoadImageNotifyRoutine设置回调函数,以监控进程、线程创建和模块加载,这增加了移除保护的复杂性。 尽管郁金香...
32位/64位WINDOWS驱动之保护指定进程PID(拒绝CE,X64dug,OD等工具读写)
a756598009的博客
06-24 775
给编辑框添加变量 类别 值 变量类型 改成UINT32 名称m_PID 完成。把RegistrationContext;在进入派遣函数中增加两个控制开关。进程保护.c里面 注释目标进程名。剪切到判断受保护下面 并修改为。搜索不到数值,打开内存也没有数据。x64dubug附加进程直接结束。来到添加保护进程按钮控制事件。来到移除保护进程按钮控制事件。读写控制后面添加两个函数。进程名标签改为进程PID。
PsSetCreateProcessNotifyRoutine监控进程创建
Sven的忘却日记
09-25 5354
PsSetCreateProcessNotifyRoutine函数用来注册一个进程创建的回调函数,当有新从进程被创建时,就把父进程的ID,和子进程(被创建的进程)ID传给回调函数,通过回调函数,可以监控新创建的进程 NTSTATUS PsSetCreateProcessNotifyRoutine( _In_ PCREATE_PROCESS_NOTIFY_ROUTINE NotifyRouti...
PsSetCreateProcessNotifyRoutine妙用
yushiqiang1688的专栏
01-18 1万+
最近要做一个进程监控的程序,功能很简单,就是创建和退出进程的时候,能触发我们的事件。首先的第一想法,是Hook ZwCreateProcess,结果调试的时候发现,很多创建进程的动作,并没有通过这个API执行,所以自然就是没办法监控进程的创建,于是回到本质,从创建进程的动作过程来分析,创建新的进程,其大致要经历以下步骤:(1)打开可执行文件,以FILE_EXECUTE权限打开;(2)将
驱动开发:监控进程与线程对象操作
热门推荐
CSDN
06-14 1万+
监控进程对象和线程对象操作,可以使用ObRegisterCallbacks这个内核回调函数,通过回调我们可以实现保护calc.exe进程不被关闭,具体操作从OperationInformation->Object获得进程或线程的对象,然后再回调中判断是否是计算器,如果是就直接去掉TERMINATE_PROCESS或TERMINATE_THREAD权限即可。 监控进程对象 附上进程监控回调的...
【软件测试】测试驱动开发与行为驱动开发
星拱北辰的博客
03-24 618
本文讨论测试驱动开发与行为驱动开发
ZwQuerySystemInformation 函数查看进程列表
ShadowAssassin的专栏
12-14 1万+
程序主要应用函数  ZwQuerySystemInformation  实现的,这也是window内核的一个很重要,结构很复杂的函数。 函数原型 如下: //声明ZqQueryAyatemInformation NTSTATUS ZwQuerySystemInformation( I
驱动级注入dll源码
最新发布
10-01
驱动级注入DLL源码是一段用于实现在内核次进行DLL注入的代码。通常情况下,DLL注入用于在目标进程的地址空间中运行指定的DLL文件,从而实现对目标进程的监控、修改或增强功能。 驱动级注入DLL源码需要使用Windows...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值