创建进程回调

最新推荐文章于 2022-10-23 11:04:00 发布
最新推荐文章于 2022-10-23 11:04:00 发布
阅读量307 收藏
点赞数
分类专栏: 内核驱动全部集合 
#include <ntddk.h>

VOID UnloadDriver(PDRIVER_OBJECT pDriver);

VOID
CreateProcessRoutineSpy(
IN HANDLE  ParentId,
IN HANDLE  ProcessId,
IN BOOLEAN  Create
);



NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING Registry)
{
	NTSTATUS status = STATUS_SUCCESS;

	UNREFERENCED_PARAMETER(pDriver);
	UNREFERENCED_PARAMETER(Registry);
	KdPrint(("[SysTest] DriverEntry Loading.\n"));

	status = PsSetCreateProcessNotifyRoutine(CreateProcessRoutineSpy, FALSE);
	if (!NT_SUCCESS(status))
	{
		KdPrint(("[SysTest] PsSetCreateProcessNotifyRoutine failed status:(%x).\n", status));
		return status;
	}

	pDriver->DriverUnload = UnloadDriver;
	return status;
}

VOID
CreateProcessRoutineSpy(
IN HANDLE  ParentId,
IN HANDLE  ProcessId,
IN BOOLEAN  Create
)
{
	if (Create)
	{
		KdPrint(("进程创建[SysTest] Process Created. ParentId:(%d) ProcessId:(%d).\n", ParentId, ProcessId));
	}
	else
	{
		KdPrint(("进程销毁[SysTest] Process Terminated ProcessId:(%d).ParentId:(%d) .\n", ProcessId, ParentId));
	}

	return;
}

VOID UnloadDriver(PDRIVER_OBJECT pDriver)
{
	UNREFERENCED_PARAMETER(pDriver);

	NTSTATUS status;

	status = PsSetCreateProcessNotifyRoutine(CreateProcessRoutineSpy, TRUE);
	if (NT_SUCCESS(status))
	{
		KdPrint(("卸载完成[SysTest] UnloadDriver.\n"));
	}

	return;
}

 

「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WDK驱动开发之路——进程回调
AuddyTab的博客
11-22 569
#include <wdm.h> PVOID _HANDLE = NULL; typedef struct _LDR_DATA_TABLE_ENTRY { // Start from Windows XP LIST_ENTRY InLoadOrderLinks; LIST_ENTRY InMemoryOrderLinks; LIST_ENTRY InInitializationOrderLinks; PVOID DllBase; PVOID .
创建/结束进程回调 PsSetCreateProcessNotifyRoutine
dingji2919的博客
11-25 501
PsSetCreateProcessNotifyRoutine PsSetCreateProcessNotifyRoutine添加或者移除一个驱动支持的回调例程(也可以成为函数)。 当一个进程创建或者删除时,一系列的例程将会被调用。PS:相当于把例程加入到一个链表中,当进程创建或者删除时,所有的例程都会被调用(应该是这个意思) NTSTATUSPsSetCreateProcessNo...
驱动开发:内核监控进程与线程回调
热门推荐
CSDN
10-23 1万+
系统中监控进程与线程可以使用微软提供给我们的两个新函数来实现,此类函数的原理是创建一个回调事件,当有进程或线程被创建或者注销时,系统会通过回调机制将该进程相关信息优先返回给我们自己的函数待处理结束后再转向系统层。那么会提示连接的设备没有发挥作用,我们则成功拦截了这次打开,当然如果在打开进程之前扫描其特征并根据特征拒绝进程打开,那么就可以实现一个简单的防病毒程序,进程监控在防病毒程序中也是用的最多的。如上,该函数只有两个参数,第一个参数是回调函数,第二个参数是是否注销,通常在驱动退出时可以传入。
驱动编程:注册表回调进程回调,文件回调进程隐藏断链,窗口保护
追逐光芒,追随内心
10-28 1810
#include "struct.h" #define debug_pott_offset 0x298 //#define debug_pott_offset 0x1f0 DWORD changge_size_NtClose = 0; //NtClose被修改了N字节 PUCHAR ori_head_NtClose = NULL; //NtClose的前N字节数组 PVOID ori_addr_NtClose = NULL; //NtCl..
windows驱动 - 进程回调
qq726232111的博客
12-29 1089
0x00 函数 ObRegisterCallbacks() //为线程、进程和桌面句柄操作注册回调例程列表 ObUnRegisterCallbacks() //卸载回调的注册 0x01 代码 //打印哪些进程在操作notepad进程句柄 #include <wdm.h> PCHAR PsGetProcessImageFileName(PEPROCESS Process); #define ProcessName "cmd" typedef struct _LDR_DATA_T..
Python3-异步进程回调函数(callback())介绍
09-16
本文将深入探讨Python3中异步进程回调函数(callback())的概念、工作原理以及如何在实际编程中运用。 首先,让我们理解什么是异步进程。在同步模式下,程序会顺序执行,如果某个操作需要等待(如I/O操作,如读写文件...
对Python3之进程池与回调函数的实例详解
09-19
总结起来,Python3中的进程池结合回调函数提供了一种强大的工具,用于管理和优化多进程并行计算。通过合理地利用进程池和回调,开发者可以编写出高效的并发程序,处理大量并发任务,尤其在数据处理、网络请求等场景...
进程创建监控
07-31
进程回调是系统用来通知特定事件(如进程创建)的一种机制。在Ring3,回调函数可以在用户模式下定义,当相关的系统事件发生时,由内核调用。在Ring0,回调是在内核级别设置的,允许在进程创建时执行自定义逻辑。回调...
DLL窗口中回调函数的演示(Delphi)
04-20
本文将深入探讨如何在DLL中创建窗口并使用回调函数,这涉及到以下知识点: 1. **DLL中窗口的引用**: 在DLL中创建窗口并不常见,因为通常DLL是用来提供服务和函数的。但是,在某些情况下,如需要在DLL中显示用户...
动态库回调函数示例
11-17
本示例"动态库回调函数示例"旨在演示如何在 VC++6.0 下创建和使用 DLL,特别是在 DLL 中定义回调函数。回调函数是一种编程技术,允许 DLL 将控制权交还给调用它的应用程序,以便在特定事件发生时执行自定义操作。 ...
反模块、线程、进程回调(PsSetXXXXX)
u014738665的博客
11-09 418
参考资料: 1、模块、进程、线程回调函数的逆向 2、一字节anti创建进程线程等回调 1、清空全局变量PspNotifyEnableMask PsSetCreateThreadNotifyRoutine、PsSetCreateProcessNotifyRoutine、PsSetLoadImageNotifyRoutine 2、注册无用回调函数占坑,因为注册回调有最大限制 例如PsSetLoadImageNotifyRoutine最大拥有8个回调 ...
遍历创建进程创建线程、加载模块的回调函数
weixin_34360651的博客
10-28 197
今天我们首先来看一下最简单的,关于遍历PspCreateProcessNotifyRoutine数组,PspLoadImageNotifyRoutine也同理 这两个数组保存了两组函数地址,它们将在有进程创建或销毁,有镜像被装载或映射入内存的时候被依次调用, 当然了这两个符号都是未导出的,而且它们的数量在xp和win7下也有所不同,xp<2k3>下最大数...
创建进程回调函数_阻止打开任何进程
09-02 1998
#include &lt;ntddk.h&gt; VOID UnloadDriver(PDRIVER_OBJECT pDriver); VOID CreateProcessRoutineSpy( IN HANDLE ParentId, IN HANDLE ProcessId, IN BOOLEAN Create ); NTSTATUS DriverEntry(PDRIVER_OB...
通过回调函数阻止进程创建(验证结束,方案完全可行)
weixin_30794499的博客
11-07 171
(此方案完全可行,只是我忘掉了一步) 虽然Vista之后版本有进程创建回调函数的Ex版,而且Ex版可以拦截进程创建, 但是由于在Ex版回调函数内用第三个参数的最后一个元素来阻止进程创建的话,可能会出现弹框,所以不安全,所以这个方案可行性不高。 (这里说的不安全,是说可以被用户层看到这个弹框,可以被发现,处理麻烦,如果是用户自己设置的拦截,那么根本不需要通知用户,如果是我们自己做拦...
进程池的回调函数
ayaodi7887的博客
08-15 88
进程先执行func1,把func1的返回作为参数传给func2,(func1是由子线程执行,func是由主线程执行) 回调函数一般用于爬虫:所有子线程用来爬取数据,主线程用来处理数据(爬取数据耗时长,处理数据耗时短) 转载于:https://www.cnblogs.com/qyh1499816254/p/11359638.html...
进程池的回调函数callback
aaronthon的博客
10-18 3700
&#13; 如下代码:&#13; &#13; from multiprocessing import Pool&#13; &#13; &#13; def func1(n):&#13; print('in func1')&#13; return n*n&#13; &#13; &#13; def func2(nn):&#13; print('in func...
c语言跨进程回调函数,14.python多进程回调函数
weixin_40006265的博客
05-25 462
一、 概述需要回调函数的场景:进程池中任何一个任务一旦处理完了,就立即告知主进程:我好了额,你可以处理我的结果了。主进程则调用一个函数去处理该结果,该函数即回调函数我们可以把耗时间(阻塞)的任务放到进程池中,然后指定回调函数(主进程负责执行),这样主进程在执行回调函数时就省去了I/O的过程,直接拿到的是任务的结果。子进程执行返回的结果做为回调函数的参数传入。回调函数是在主进程中执行的。回调函数适用...
回调与多进程
微电子学与固体电子学-俞驰
01-13 948
大佬们的解释: 为了指定某函数(对象)在进入到某状态时要进行的操作,将该操作封装成一个函数,并将该函数指针作为参数传入。在这个动作中被传递的函数就叫做 回调函数。 回调函数的本质其实就是: 函数调用函数,或者说,就是嵌套函数,类似于嵌套for循环。 但是由于应用场景不同取了个这样的名字。感觉是为了区别于传统的函数调用感觉是为了区别于传统的函数调用 其实回调函数不太好理解的地方是他的应
Windwos 驱动HOOK创建进程回调,实现禁止创建全部进程
最新发布
06-02
在驱动的进程创建回调函数中,可以通过判断正在创建进程信息,来决定是否允许创建进程。如果要禁止创建全部进程,可以在回调函数中实现以下逻辑: 1. 获取正在创建进程的可执行文件名。 2. 判断该可执行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值