内核中常见的通知的使用

最新推荐文章于 2022-08-05 19:33:14 发布
最新推荐文章于 2022-08-05 19:33:14 发布
阅读量203 收藏
点赞数
分类专栏: 逆向开发学习笔记 文章标签: 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lygl35/article/details/113027591
版权
应用场景

一个程序打开,可以用驱动捕获到这个程序的PID ,程序名字,和这个程序用到的DLL模块等信息,包括加载的顺序都可以获取

注册一个通知和对应的回调函数就可以实现这一的功能

全部代码:

/**********************驱动程序学习例程************************
*  平台:visual studio 2019 
*  功能:内核通知
*  编写:ZGL
*  日期:2021-01-22
*
*	 更改记录:未更改
******************************************************************/


#include <ntifs.h>
#include <windef.h>

PCHAR PsGetProcessImageFileName(PEPROCESS epobj);

VOID MyCreateProcessNotify(HANDLE ParentId,HANDLE ProcessId,BOOLEAN Create)
{
	if (Create)
	{
		PEPROCESS tempep = NULL;

		NTSTATUS status = STATUS_SUCCESS;

		status = PsLookupProcessByProcessId(ProcessId, &tempep);

		if (NT_SUCCESS(status))
		{
			ObDereferenceObject(tempep);

			PCHAR imagename=PsGetProcessImageFileName(tempep);

			DbgPrint("pid<%d>--name<%s>\n", ParentId, imagename);
		}
	}
	return;
}

VOID MyLoadImageNotify( PUNICODE_STRING FullImageName,HANDLE ProcessId,PIMAGE_INFO ImageInfo)
{
	PEPROCESS tempep = NULL;

	NTSTATUS status = STATUS_SUCCESS;

	status = PsLookupProcessByProcessId(ProcessId, &tempep);

	if (NT_SUCCESS(status))
	{
		ObDereferenceObject(tempep);

		PCHAR imagename = PsGetProcessImageFileName(tempep);

		DbgPrint("<%s>Load Image <%wZ> \n-Baseaddr <%p>\n-size is <%llx>\n", imagename, FullImageName, ImageInfo->ImageBase,ImageInfo->ImageSize);
	}
	
	return;
}

VOID MyCreteThreadNotify(
	_In_ HANDLE ProcessId,
	_In_ HANDLE ThreadId,
	_In_ BOOLEAN Create)
{
	if (Create)
	{
		PEPROCESS tempep = NULL;

		NTSTATUS status = STATUS_SUCCESS;

		status = PsLookupProcessByProcessId(ProcessId, &tempep);

		if (NT_SUCCESS(status))
		{
			ObDereferenceObject(tempep);

			PCHAR imagename = PsGetProcessImageFileName(tempep);

			DbgPrint("<%s> create thread <%d>\n", imagename,ThreadId);
		}

	}


	return;
}


VOID DrvUnload(PDRIVER_OBJECT pdriver)
{
	///PsSetCreateProcessNotifyRoutine注册的通知需要用这个卸载,这个注册和卸载函数同名
	PsSetCreateProcessNotifyRoutine(MyCreateProcessNotify, TRUE);
	
	//PsSetLoadImageNotifyRoutine注册的通知需要用这个卸载
	PsRemoveLoadImageNotifyRoutine(MyLoadImageNotify);

	//PsSetCreateThreadNotifyRoutine注册的通知需要用这个卸载
	PsRemoveCreateThreadNotifyRoutine(MyCreteThreadNotify);

	DbgPrint("Unload\n");
	
	return;
	

}



NTSTATUS DriverEntry(PDRIVER_OBJECT pdriver, PUNICODE_STRING reg_path)
{
	
	NTSTATUS status = STATUS_SUCCESS;
	pdriver->DriverUnload = DrvUnload;

	//PsSetCreateProcessNotifyRoutine 有程序打开就会执行参数1的函数,创建这个回调和卸载这个回调都是用这个函数
	status = PsSetCreateProcessNotifyRoutine(MyCreateProcessNotify, FALSE);//回调函数,有程序打开会执行MyCreateProcessNotify函数

	//每当有模块加载的时候出发这个通知,打开一个程序后会加载很多模块,包括系统的,自身的,这个通知都能捕获到
	status = PsSetLoadImageNotifyRoutine(MyLoadImageNotify);

	//捕获线程通知
	status = PsSetCreateThreadNotifyRoutine(MyCreteThreadNotify);

	return 0;
}

执行效果:

这个没有加线程捕获通知是的代码铺货的信息
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
还能右键删除这些回调
在这里插入图片描述

lygl35
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux内核通知
10-18
Linux内核通知
linux 内核通知,[Linux] 内核通知链 notifier
weixin_35057850的博客
04-30 320
Linux 内核每个模块之间都是独立的,如果模块需要感知其他模块的事件,就需要用到内核通知链。最典型的通知链应用就是 LCD 和 TP 之间,TP 需要根据 LCD 的亮灭来控制是否打开关闭触摸功能。通俗的讲,LCD 会创建一个函数链表,TP 会将suspend 和 resume函数添加到链表,当 LCD 发生亮灭变化时,会根据情况执行链表上所有对应的函数,函数会根据不同的动作执行 TP ...
linux系统如何将一个信号通知到进程
lzh824359508的博客
03-30 605
linux系统如何将一个信号通知到进程信号的种类进程描述符信号发送到进程大致流程linux信号基于轮训还是断 信号的种类 硬件异常产生的错误。比如非法访问内存,除数为0… 外部信号。键盘上的Ctrl-C产生SGINT信号,定时器到期产生SIGALRM… 显示的请求。 主要是通过Kill函数发送信号给指定进程。 进程描述符 为了管理进程,内核必须知道每个进程的信息与其所做的事情(进程优先级、分配的地址空间、访问权限etc.)。 这正是通过 进程描述符 的作用。 在Linux里面每个进程都是按照进程
内核通知链(网络子系统为例)
开源&&分享
08-05 1151
1.Linux内核各个子系统相互依赖,当其某个子系统状态发生改变时,就。为满足这样的需求,内核实现了2.通知链只能用在各个子系统之间,而。组成内核的核心系统代码均位于kernel目录下,通知链表位于kernel/notifier.c,对应的头文件为include/linux/notifier.h。3.事件通知链表是,,进行相应的处理。(类似于设计模式的观察者模式,解耦)...
Windows驱动调用PsSetCreateProcessNotifyRoutineEx失败
youyudexiaowangzi的专栏
02-21 942
Windows驱动调用PsSetCreateProcessNotifyRoutineEx失败,添加/integritycheck编译选项
Linux网络通知链的使用
01-09
Linux 网络内核代码使用通知链(Notification Chains)来使相关的子系统对感兴趣的事件作出反应。下面从头介绍一下通知链的使用。  数据结构定义  通知使用的数据结构如下:  struct notifier_block { ...
linux 内核网络接口通知链机制分析
04-15
该文章从代码分析层面详细介绍了linux内核对于网络接口变化的通知链机制,包括接口的up/down 操作,以太网口的载波监听机制。重要数据结构和通知流程的代码都有文注释。
Linux内核通知块操作
06-16
Linux内核通知块操作,详细说明linux如何实现通知模块的。
EX 内核管理器 EX Kernel Manager 6.0.1 文多语免费版.zip
06-11
内核设置位于/ proc和/ sys目录。只需导航到所需的路径,您就可以快速轻松地将设置添加到应用,在此可以即时更改设置或在启动时应用。另外,您可以轻松导入/导出自定义设置并与其他用户共享。 内存设置:调整...
扩展内核函数 PsSetCreateProcessNotifyRoutine 等的蹲坑数量
12-01
扩展内核函数 PsSetCreateProcessNotifyRoutine 等的蹲坑数量
解决 PsSetCreateProcessNotifyRoutineEx 调用失败的方法
keidoekd2345的专栏
11-10 4626
http://social.technet.microsoft.com/wiki/contents/articles/255.forced-integrity-signing-of-portable-executable-pe-files.aspx#How_to_set_the_IMAGE_DLLCHARACTERISTICS_FORCE_INTEGRITY_flag_by_using_Link_
Window内核 PsSetCreateProcessNotifyRoutineEx失败
做一个快乐学习者
06-14 338
vs设置:“项目-属性-链接器-命令行”位置添加 /INTEGRITYCHECK 即可,不然注册回调的时候会失败
内核和用户空间的消息传递-事件通知 (2)
tea1896的专栏
06-01 3755
事件通知机制不仅可用户用户态两个线程之间同步,还可以用于内核空间和用户空间同步。 方法如下: 1.在用户层 a. 创建一个文件描述符 int event_fd event_fd = eventfd ( 0, EFD_NONBLOCK | EFD_SEMAPHORE ); b.将文件描述符通过ioctl传递给内核  enable_message_notifica
linux内核通知链(notifier chain)
luckywang1103的专栏
09-18 2121
概述Linux内核各个子系统相互依赖,当其某个子系统状态发生改变时,就必须使用一定的机制告知使用其服务的其他子系统,以便其他子系统采取相应的措施。为满足这样的需求,内核实现了事件通知链机制(notification chain)。通知链只能用在各个子系统之间,而不能在内核和用户空间进行事件的通知。组成内核的核心系统代码均位于kernel目录下,通知链表位于kernel/notifier.c,对
Linux内核通知链(Notifier)
半月旋空
09-21 3036
引入 在linux内核,各个子系统之间有很强的相互关系,某些子系统可能对其他子系统产生的事件比较感兴趣。因此内核引入了notifier机制,当然了notifier机制只能用在内核子系统之间,不能用在内核与应用层之间。比如当系统suspend的时候,就会使用到notifier机制来通知系统的内核线程进行suspend。 内核实现的notifier机制代码位于kernel/kernel/
Linux内核基础--事件通知链(notifier chain)
热门推荐
每一天为明天@liitokala
10-16 2万+
内核通知链 1.1. 概述        Linux内核各个子系统相互依赖,当其某个子系统状态发生改变时,就必须使用一定的机制告知使用其服务的其他子系统,以便其他子系统采取相应的措施。为满足这样的需求,内核实现了事件通知链机制(notificationchain)。        通知链只能用在各个子系统之间,而不能在内核和用户空间进行事件的通知。组成内核的核心系统代码均位于kernel
linux内核通知
最新发布
10-19
Linux内核通知链(Notifier)是一种机制,用于在内核实现事件通知和处理。通知链由一系列的通知处理程序(notifier)组成,当事件发生时,通知的每个处理程序都会被调用,以便它们可以执行相应的操作。通知链的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值