驱动开发:内核监控进程与线程创建

已于 2023-10-31 15:07:48 修改
阅读量9k 收藏 3
点赞数
分类专栏: 《Windows 内核安全编程技术实践》 文章标签: 驱动开发 c++ c语言 windows 内核安全 信息安全 ARK工具开发
于 2022-10-14 13:11:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyshark_csdn/article/details/127318543
版权

监控进程的启动与退出可以使用 PsSetCreateProcessNotifyRoutineEx 来创建回调,当新进程产生时,回调函数会被率先执行,然后执行我们自己的MyCreateProcessNotifyEx函数,并在内部进行打印输出。

PsSetCreateProcessNotifyRoutineEx 是 Windows 内核提供的函数,用于注册一个回调函数,以便在新进程创建时进行通知。该函数位于 ntddk.h 头文件中,函数原型如下:

NTSTATUS PsSetCreateProcessNotifyRoutineEx(
  PCREATE_PROCESS_NOTIFY_ROUTINE_EX NotifyRoutine,
  BOOLEAN                            Remove
);

其中,PCREATE_PROCESS_NOTIFY_ROUTINE_EX 是回调函数类型,定义如下:

typedef VOID (*PCREATE_PROCESS_NOTIFY_ROUTINE_EX)(
  PEPROCESS                   Process,
  HANDLE                      ProcessId,
  PPS_CREATE_NOTIFY_INFO_EX   CreateInfo
);

在调用 PsSetCreateProcessNotifyRoutineEx 注册回调函数后,每当有新进程创建时,系统会调用我们自定义的回调函数 NotifyRoutine,并传递相关参数,包括新创建的进程的 PEPROCESS 结构体指针、进程 ID (ProcessId) 和进程创建信息 (CreateInfo)。

在回调函数内部,我们可以进行自定义的操作,例如打印输出、记录日志、对进程进行监控等。注意,在回调函数中执行的操作应尽量保持简洁和高效,避免对系统性能和稳定性产生过大的影响。

#include <ntddk.h>

NTKERNELAPI PCHAR PsGetProcessImageFileName(PEPROCESS Process);
NTKERNELAPI NTSTATUS PsLookupProcessByProcessId(HANDLE ProcessId, PEPROCESS *Process);

PCHAR GetProcessNameByProcessId(HANDLE ProcessId)
{
	NTSTATUS st = STATUS_UNSUCCESSFUL;
	PEPROCESS ProcessObj = NULL;
	PCHAR string = NULL;
	st = PsLookupProcessByProcessId(ProcessId, &ProcessObj);
	if (NT_SUCCESS(st))
	{
		string = PsGetProcessImageFileName(ProcessObj);
		ObfDereferenceObject(ProcessObj);
	}
	return string;
}

VOID MyCreateProcessNotifyEx(PEPROCESS Process, HANDLE ProcessId, PPS_CREATE_NOTIFY_INFO CreateInfo)
{
	char ProcName[16] = { 0 };
	if (CreateInfo != NULL)
	{
		strcpy(ProcName, PsGetProcessImageFileName(Process));
		DbgPrint("父进程ID: %ld  --->父进程名: %s --->进程名: %s---->进程路径:%wZ", CreateInfo->ParentProcessId,
			GetProcessNameByProcessId(CreateInfo->ParentProcessId),
			PsGetProcessImageFileName(Process),CreateInfo->ImageFileName);
	}
	else
	{
		strcpy(ProcName, PsGetProcessImageFileName(Process));
		DbgPrint("进程[ %s ] 离开了,程序被关闭了",ProcName);
	}
}

VOID UnDriver(PDRIVER_OBJECT driver)
{
	PsSetCreateProcessNotifyRoutineEx((PCREATE_PROCESS_NOTIFY_ROUTINE_EX)MyCreateProcessNotifyEx, TRUE);
}
NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
	NTSTATUS status;
	status = PsSetCreateProcessNotifyRoutineEx((PCREATE_PROCESS_NOTIFY_ROUTINE_EX)MyCreateProcessNotifyEx, FALSE);
	Driver->DriverUnload = UnDriver;
	return STATUS_SUCCESS;
}

在上方代码基础上进行一定的改进,思路:通过PsGetProcessImageFileName即将PID转换为进程名,然后通过_stricmp对比,如果发现是calc.exe进程则拒绝执行,禁止特定服务的运行,实现代码如下:

#include <ntddk.h>

NTKERNELAPI PCHAR PsGetProcessImageFileName(PEPROCESS Process);
NTKERNELAPI NTSTATUS PsLookupProcessByProcessId(HANDLE ProcessId, PEPROCESS *Process);

PCHAR GetProcessNameByProcessId(HANDLE ProcessId)
{
	NTSTATUS st = STATUS_UNSUCCESSFUL;
	PEPROCESS ProcessObj = NULL;
	PCHAR string = NULL;
	st = PsLookupProcessByProcessId(ProcessId, &ProcessObj);
	if (NT_SUCCESS(st))
	{
		string = PsGetProcessImageFileName(ProcessObj);
		ObfDereferenceObject(ProcessObj);
	}
	return string;
}

VOID MyCreateProcessNotifyEx(PEPROCESS Process, HANDLE ProcessId, PPS_CREATE_NOTIFY_INFO CreateInfo)
{
	char ProcName[16] = { 0 };
	if (CreateInfo != NULL)
	{
		strcpy(ProcName, PsGetProcessImageFileName(Process));
		if (!_stricmp(ProcName, "calc.exe"))
		{
			CreateInfo->CreationStatus = STATUS_UNSUCCESSFUL;
		}
	}
}

VOID UnDriver(PDRIVER_OBJECT driver)
{
	PsSetCreateProcessNotifyRoutineEx((PCREATE_PROCESS_NOTIFY_ROUTINE_EX)MyCreateProcessNotifyEx, TRUE);
	DbgPrint(("驱动卸载成功"));
}
NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
	NTSTATUS status;
	status = PsSetCreateProcessNotifyRoutineEx((PCREATE_PROCESS_NOTIFY_ROUTINE_EX)MyCreateProcessNotifyEx, FALSE);
	Driver->DriverUnload = UnDriver;
	DbgPrint("驱动加载成功!");
	return STATUS_SUCCESS;
}

将上方代码编译,当我们加载驱动程序以后,再次打开C:\Windows\System32\calc.exe 计算器进程则提示无法打开,我们的驱动已经成功的拦截了本次的请求。

而检测线程操作与检测进程差不多,检测线程需要调用PsSetCreateThreadNotifyRoutine 创建回调函数,然后就可以检测线程的创建了。

使用 PsSetCreateThreadNotifyRoutine 函数创建回调函数来实现。该函数位于 Windows 内核中,并用于注册一个回调函数,以便在新线程创建时进行通知。函数原型如下:

NTSTATUS PsSetCreateThreadNotifyRoutine(
  PCREATE_THREAD_NOTIFY_ROUTINE NotifyRoutine
);

其中,PCREATE_THREAD_NOTIFY_ROUTINE 是回调函数类型,定义如下:

typedef VOID (*PCREATE_THREAD_NOTIFY_ROUTINE)(
  HANDLE               ProcessId,
  HANDLE               ThreadId,
  BOOLEAN              Create
);

调用 PsSetCreateThreadNotifyRoutine 注册回调函数后,每当有新线程创建时,系统会调用我们自定义的回调函数 NotifyRoutine,并传递相关参数,包括创建线程的进程 ID (ProcessId)、线程 ID (ThreadId) 和一个布尔值 (Create),表示线程是创建还是销毁。

具体代码如下:

#include <ntddk.h>

NTKERNELAPI PCHAR PsGetProcessImageFileName(PEPROCESS Process);
NTKERNELAPI NTSTATUS PsLookupProcessByProcessId(HANDLE ProcessId, PEPROCESS *Process);

VOID MyCreateThreadNotify(HANDLE  ProcessId, HANDLE  ThreadId, BOOLEAN  Create)
{
	PEPROCESS eprocess = NULL;
	PsLookupProcessByProcessId(ProcessId, &eprocess);                // 通过此函数拿到程序的EPROCESS结构
	if (Create)
		DbgPrint("线程TID: %1d --> 所属进程名: %s --> 进程PID: %1d \n", ThreadId, PsGetProcessImageFileName(eprocess), PsGetProcessId(eprocess));
	else
		DbgPrint("%s 线程已退出...", ThreadId);
}
VOID UnDriver(PDRIVER_OBJECT driver)
{
	PsRemoveCreateThreadNotifyRoutine(MyCreateThreadNotify);
	DbgPrint(("驱动卸载成功"));
}
NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
	NTSTATUS status;
	status = PsSetCreateThreadNotifyRoutine(MyCreateThreadNotify);
	DbgPrint("PsSetCreateThreadNotifyRoutine: %x", status);
	Driver->DriverUnload = UnDriver;
	return STATUS_SUCCESS;
}

微软技术分享
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
精选_基于PsSetCreateProcessNotifyRoutineEx实现监控进程创建并阻止创建_源码打包
03-10
基于PsSetCreateProcessNotifyRoutineEx实现监控进程创建并阻止创建
PsSetCreateProcessNotifyRoutineEx 防多开
sanqiuai的博客
09-06 955
这个函数的功能是设置一个回调钩子,该钩子会在进程创建进程销毁时被调用,钩子由用户提供 API格式 NTSTATUS PsSetCreateProcessNotifyRoutineEx( PCREATE_PROCESS_NOTIFY_ROUTINE_EX NotifyRoutine, BOOLEAN Remove ); NotifyRoutine 是IN,传入用户指定的回调钩子 Remove 是IN ,创建回调钩子时传FALSE,创建了肯定需要在
[原创]通过PsSetCreateProcessNotifyRoutineEx和PsSetCreateThreadNotifyRoutine实现进程线监控
追逐光芒,追随内心
12-10 1713
PsSetCreateProcessNotifyRoutineEx是Windows提供得一个可以通过设置回调函数实现进程监控内核API。其在文档的定义如下: 1 2 3 4 5 NTSTATUS PsSetCreateProcessNotifyRoutineEx( INPCREATE_PROCESS_NOTIFY_ROUTINE_EXNotifyRoutine, INBOOLEAN...
x64位全系统禁止进程创建驱动
12-23
出一个驱动 x64位全系统禁止进程创建 虚拟机win7 本机win1064 (最新版本) 自己已经测试无蓝屏 驱动不hookssd什么的 全部用的回调函数 驱动文件带的有进程保护 安装成功后自动开启全局进程创建进程 卸载后就恢复正常了
驱动开发监控进程线程对象操作
热门推荐
CSDN
06-14 1万+
监控进程对象和线程对象操作,可以使用ObRegisterCallbacks这个内核回调函数,通过回调我们可以实现保护calc.exe进程不被关闭,具体操作从OperationInformation->Object获得进程线程的对象,然后再回调中判断是否是计算器,如果是就直接去掉TERMINATE_PROCESS或TERMINATE_THREAD权限即可。 监控进程对象 附上进程监控回调的...
windows driver 创建线
sz76211822的专栏
11-13 720
VOID ThreadStart(_In_ PVOID StartContext) { PWCHAR str = (PWCHAR)StartContext; MySleep(10);//延时10ms KdPrint(("%ws\n", str)); ExFreePool(str); PsTerminateSystemThread(STATUS_SUCCESS); } void MyTh
驱动监控进程创建
06-03 1914
作 者: hljleo时 间: 2008-05-31,12:32链 接: http://bbs.pediy.com/showthread.php?t=65772这是我在http://www.codeproject.com .学习时看到的一个驱动程序,学习后对其整理的笔记下面这个驱动程序的作用:监控准备运行的可执行文件。(由用户决定是不是让它运行)所以我们要做以下工作:首先是修改(NtCreateS
用Visual studio2012在Windows8上开发内核驱动监视进程创建
weixin_30778805的博客
07-16 77
在Windows NT中,80386保护模式的“保护”比Windows 95中更坚固,这个“镀金的笼子”更加结实,更加难以打破。在Windows 95中,至少应用程序I/O操作是不受限制的,而在Windows NT中,我们的应用程序连这点权限都被剥夺了。在NT中几乎不太可能进入真正的ring0层。在Windows NT中,存在三种Device Driver: 1.“Virtual devi...
Windows内核安全与驱动开发光盘源码
07-11
第11章 文件系统的过滤与监控 199 11.1 文件系统的设备对象 200 11.1.1 控制设备与卷设备 200 11.1.2 生成自己的一个控制设备 201 11.2 文件系统的分发函数 202 11.2.1 普通的分发函数 202 11.2.2 文件过滤的...
驱动开发教程
05-07
0.基础的基础 |-学习WIN64驱动开发的硬件准备 |-配置驱动开发环境 ...|-枚举与删除创建线程回调 |-枚举与删除加载映像回调 |-枚举与删除注册表回调 |-枚举与对抗MiniFilter |-枚举与删除对象回调
Windows内核安全驱动开发(随书光盘)
08-02
第11章 文件系统的过滤与监控 199 11.1 文件系统的设备对象 200 11.1.1 控制设备与卷设备 200 11.1.2 生成自己的一个控制设备 201 11.2 文件系统的分发函数 202 11.2.1 普通的分发函数 202 11.2.2 文件过滤的...
window内核监控工具源代码
09-26
一:SSDT表的hook检测和... 应用层钩子检测和内核模块钩子检测原理一样,不过为了能读写别的进程的空间,并没有使用openprocess去打开进程,而是通过KiattachProcess挂靠到当前进程,然后通过在r0直接读写进程空间的。
WIN64驱动编程基础教程
12-06
详细目录如下: 0.基础的基础 |-学习WIN64驱动开发的硬件准备 |-配置驱动开发环境 ...|-枚举与删除创建线程回调 |-枚举与删除加载映像回调 |-枚举与删除注册表回调 |-枚举与对抗MiniFilter |-枚举与删除对象回调
4.4 Windows驱动开发内核监控进程线创建
CSDN
11-18 6775
在 PsSetCreateThreadNotifyRoutine 函数中注册的回调函数应该符合这个函数指针的定义,以便在新线程被创建或销毁时被调用。和进程ID作为参数传递给回调函数。来删除已注册的回调函数,目前该函数只需要一个参数,只需要传入注册时的函数指针即可;来说,它指向一个回调函数,用于通知进程中新线程的创建。当一个新的线程被创建时,操作系统会调用所有已注册的回调函数,并将新线程的。是一个指向回调函数的指针,该函数将在新进程创建或退出时被调用。回调函数,该回调函数将在每个进程创建和退出时被调用。
转帖 SSDT HOOK拦截远线程的创建(上)
zhuerhua的专栏
06-01 923
<br />  在ring3的API HOOK中,怎样迫使目标进程调用我们的傀儡DLL是我们非常重视的一个问题。在多数情况下,我们都喜欢使用CreateRemoteThread在目标进程创建一个远程线程来迫使它加载我们的DLL。<br /> 因为CreateRemoteThread的使用方法并不复杂,而且与其他方式相比,它可以称得上是一种相当“优雅”的做法。各种因素的汇集就导致了这种方法的泛滥,致使很多具备主动防御或行为监控的安全软件都加强了对这个函数的照顾。<br />      最近在自己的毕业设计中
驱动程序多线程 PsCreateSystemThread
07-27 1683
内核函数PsCreateSystemThread负责创建线程。该函数可以创建两种线程,一种是用户线程,它属于当前进程中的线程。另一种是系统线程,系统线程不属于当前用户进程,而是属于系统进程,一般PID为4,名字为“System”的进程。 1 2 3 4 5 6 7 8 9 10 11 12 ...
PsSetCreateProcessNotifyRoutine监控进程创建
Sven的忘却日记
09-25 5258
PsSetCreateProcessNotifyRoutine函数用来注册一个进程创建的回调函数,当有新从进程创建时,就把父进程的ID,和子进程(被创建进程)ID传给回调函数,通过回调函数,可以监控创建进程 NTSTATUS PsSetCreateProcessNotifyRoutine( _In_ PCREATE_PROCESS_NOTIFY_ROUTINE NotifyRouti...
Linux设备驱动程序中创建线程的方法
pangyinglong的博客
10-20 2745
参考博客文章来源:https://blog.csdn.net/ezimu/article/details/60467017 第一种方法:kernel_thread #include <linux/sched.h> extern pid_t kernel_thread(int (*fn)(void *), void *arg, unsigned long flags); (1)...
[IMX6ULL驱动开发]-GPIO子系统和Pinctrl子系统
最新发布
levi的博客
05-10 874
定义 GPIO Controller 是芯片厂家的事,那么我们该如何定义自己的节点呢。如下图所示,我在的这个节点中,通过gpios = 多少来设置我在这个节点当中使用的是哪个GPIO节点,一般的使用格式为:GPIO组 引脚 什么电平激活 , 下图中的表示为,此节点使用的是GPIO5组当中的3引脚,当电平为低电平的时候激活如下的设置为设备树当中的例子,只需要看 gpios = 这个属性即可一般来说,如果我们要定义自己的节点,那么格式如下compatible属性。
ark1668 linux
05-13
Ark1668是一款针对ARM架构设计的嵌入式系统,其核心操作系统是Linux。Linux作为一款自由和开放源代码的操作系统,能够支持多种平台,包括PC、服务器、移动设备以及嵌入式设备等。 在嵌入式领域,Linux具有体积小、速度快、高效性强、灵活性强、易开发和智能化等优点。相对于传统嵌入式操作系统,Linux具有更高的安全性和稳定性,较为容易移植和定制。 Ark1668针对不同的应用场景,提供了多个版本的操作系统,如用于智能家居、物联网、工业自动化、智能交通等领域的操作系统。 总之,Ark1668 Linux是一款优秀的嵌入式系统,能够为嵌入式领域提供高效可靠的解决方案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值