内核 进程监控 线程监控

最新推荐文章于 2023-01-13 11:18:31 发布
最新推荐文章于 2023-01-13 11:18:31 发布
阅读量336 收藏
点赞数
分类专栏: 驱动入门
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071646/article/details/86502788
版权

唉  最近学习感觉有点学不懂了 有点头蒙 

都有点想放弃了 最后还是坚持一下吧 看内核看不懂了 就去pwn     昨天确实有点瞎想了  有些东西未来再说 现在 为时太早 

然后 今天 搞得是  内核进程监控 

然后还是根据看雪分享的教程 写的 作者是 Tesla.Angela

然后 

这里 并非是 HOOKSSDT 而是 用的 

 VOID CreateProcessNotifyEx( 
  __inout   PEPROCESS Process,    //新进程 EPROCESS 
  __in      HANDLE ProcessId,     //新进程 PID 
  __in_opt  PPS_CREATE_NOTIFY_INFO CreateInfo    //新进程详细信息(仅在创建进程时有效) );

然后 这里就能看得出来 获取了很多信息  然后那个结构体 是

typedef struct _PS_CREATE_NOTIFY_INFO { 
  SIZE_T              Size; 
  union { 
    ULONG  Flags; 
    struct { 
      ULONG FileOpenNameAvailable  :1; 
      ULONG Reserved  :31; 
    }; 
  }; 
  HANDLE              ParentProcessId; 
  CLIENT_ID           CreatingThreadId; 
  struct _FILE_OBJECT  *FileObject; 
  PCUNICODE_STRING    ImageFileName; 
  PCUNICODE_STRING    CommandLine; 
  NTSTATUS            CreationStatus; } PS_CREATE_NOTIFY_INFO, *PPS_CREATE_NOTIFY_INFO

如果想阻止创建进程 那么直接,直接把 此结构体的 CreationStatus 成员改为 STATUS_UNSUCCESSFUL 就行 

比较可惜的是 阻止线程的话 很容易失败 这里引用 作者原话把 

 

在通知回调函数 的时候,线程尚未初始化完毕,使用 PsLookupThreadByThreadId 获得 ETHREAD 有时会失败,即使侥幸成功,也不能调用 PspTerminateThreadByPointer 来结束 新线程,否则会蓝屏

 

然后下面是代码 

#include <ntddk.h>
NTKERNELAPI PCHAR PsGetProcessImageFileName(PEPROCESS Process);
NTKERNELAPI NTSTATUS PsLookupProcessByProcessId(HANDLE ProcessId, PEPROCESS *Process);
PCHAR GetProcessByProcessId(HANDLE hProcess)
{
	NTSTATUS status = STATUS_SUCCESS;
	PEPROCESS Processobj = NULL;
	PCHAR string = NULL;
	status = PsLookupProcessByProcessId(hProcess, &Processobj);
	if (!NT_SUCCESS(status))
	{
		string = PsGetProcessImageFileName(Processobj);
		ObfDereferenceObject(Processobj);
	}
	return string;
}
VOID LookCreateProcess(
	__inout   PEPROCESS Process,
	__in      HANDLE ProcessId,
	__in_opt  PPS_CREATE_NOTIFY_INFO CreateInfo
	)
{
	NTSTATUS status;
	HANDLE hProcess; 
	OBJECT_ATTRIBUTES ob = { 0 };
	CLIENT_ID CilendID = { 0 };
	char ProcessName[16] = { 0 };
	if (CreateInfo != NULL)
	{
		KdPrint(("%ld %s 创建进程 %wZ",
		CreateInfo->ParentProcessId,
		GetProcessByProcessId(CreateInfo->ParentProcessId),
		CreateInfo->ImageFileName
		));
		strcpy(ProcessName, PsGetProcessImageFileName(Process));
		if (_stricmp(ProcessName, "calc.exe"))
		{
			KdPrint(("听说你是计算器??\n"));
			CreateInfo->CreationStatus = STATUS_UNSUCCESSFUL;
		}
	}
	else
	{
		KdPrint(("进程退出: %s", PsGetProcessImageFileName(Process)));
	}

}
VOID LookCreateThread(
	IN HANDLE  ProcessId,
	IN HANDLE  ThreadId,
	IN BOOLEAN  Create
	)
{
	if (Create)
		KdPrint(("线程创建! PID=%ld;TID=%ld", ProcessId, ThreadId));
	else
		KdPrint(("线程退出! PID=%ld;TID=%ld", ProcessId, ThreadId));
}
VOID Unload(PDRIVER_OBJECT pDriverObj)
{
	KdPrint(("拜拜!\n"));
}
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObj, PUNICODE_STRING pRegistryString)
{ 
	NTSTATUS status;
	status = PsSetCreateProcessNotifyRoutineEx((PCREATE_PROCESS_NOTIFY_ROUTINE_EX)LookCreateProcess, FALSE);
	KdPrint(("%x",status));
	status = PsSetCreateThreadNotifyRoutine(LookCreateThread);
	KdPrint(("%x", status));
	return STATUS_SUCCESS;
}

 

pipixia233333
关注
专栏目录
驱动开发:内核监控进程线程回调
m0_56069948的博客
10-23 617
系统监控进程线程可以使用微软提供给我们的两个新函数来实现,此类函数的原理是创建一个回调事件,当有进程线程被创建或者注销时,系统会通过回调机制将该进程相关信息优先返回给我们自己的函数待处理结束后再转向系统层。那么会提示连接的设备没有发挥作用,我们则成功拦截了这次打开,当然如果在打开进程之前扫描其特征并根据特征拒绝进程打开,那么就可以实现一个简单的防恶意程序,进程监控在防恶意程序也是用的最多的。如上,该函数只有两个参数,第一个参数是回调函数,第二个参数是是否注销,通常在驱动退出时可以传入。
Linux内核进程系统监控与管理
最新发布
m0_74282605的博客
04-17 240
进程是已启动的可执行程序的运行的实例负载均衡表示一段时间内感知系统负载,报告CPU上准备运行的进程数以及等待磁盘或网络I/O完成的进程数。
内核模式简单实现进程监控
wxl1986622的专栏
06-07 839
内核模式简单实现进程监控 2009-04-08 08:06:43     我来说两句  收藏    我要投稿    [字体:小 大] 注:本文已发表在2009年第3期《黑客防线》,转载请注明来源。      在使用冰刃的时候我们可以发现它有一个“监视进线程创建”的功能,这个功能挺有用的,在用户模式下我们可以注册一个shell钩子来监视,或者通过挂钩一些进程创建的
内核进程监控框架
Cosmopolitan的博客
09-19 265
//win7 x64下测试通过: #include <ntifs.h> #include <ntddk.h> VOID UnloadDriver(PDRIVER_OBJECT pDriver); VOID CreateProcessRoutineSpy( IN HANDLE ParentId, IN HANDLE ProcessId, IN BOOLEAN Cre...
进程监控线程监控
qq_41490873的博客
08-27 557
方式1 #include <ntifs.h> #include<ntddk.h> NTKERNELAPI PUCHAR PsGetProcessImageFileName( IN PEPROCESS Process ); VOID ProcessNotifyRoutine( _In_ HANDLE ParentId, _In_ HANDLE ProcessId, _In_ BOOLEAN Create ) { if (Create==TRUE) { //创建进程回调
C#获取进程线程相关信息的方法
09-03
在C#编程,获取进程线程的相关信息是系统监控和调试的重要组成部分。通过使用.NET框架提供的`System.Diagnostics`命名空间,我们可以轻松地访问这些信息。以下将详细阐述如何利用C#获取进程线程的各类属性。 ...
进程&线程查看器2.0.rar_Process_c 查看进程_进程线程
09-20
总结来说,"进程&线程查看器2.0"是了解和管理操作系统内核活动的得力助手,无论是开发者还是系统管理员,都能从受益。通过实际操作和观察,我们可以更好地掌握进程线程的工作原理,从而优化程序性能,提高系统...
window内核监控工具源代码
09-26
一:SSDT表的hook检测和... 应用层钩子检测和内核模块钩子检测原理一样,不过为了能读写别的进程的空间,并没有使用openprocess去打开进程,而是通过KiattachProcess挂靠到当前进程,然后通过在r0直接读写进程空间的。
精选_基于ObRegisterCallbacks实现的线程进程监控及其保护_源码打包
03-10
在实现线程进程监控时,我们需要关注以下几个回调类型: 1. **ObjectCreationCallback**: 这个回调会在新对象(如线程进程)创建时被调用。我们可以在回调函数记录创建的时间、属性等信息,或者检查新创建的...
内核态进行进程线程监控
輚至消亡
03-21 854
进程监控主要使用PsSetCreateProcessNotifyEx 线程监控主要使用PsSetCreateThreadNotify 主要需要注意一点就是,这种方式的使用条件是需要强制完整性检查。可以通过/integritycheck选项添加。 或者网上有一种绕过方式, 在调用上面那两个函数前首先调用下面这个函数,如果执行成功即可绕过强制完整性检查。 BOOLEAN BypassCheckSign(PDRIVER_OBJECT pDriverObject) { #ifdef _WIN64 ..
内核注入DLL驱动
11-14
采用HOOK SSDT方式,HOOK NtCreateProcess,NtCreateThread等函数,在进程开始时实现注入,可以绕过QQ,360等检查。
linux 内核进程监控 针对bash下启动的程序
xmas
05-20 396
[内核安全7]内核级的进程监控
輚至消亡
02-17 809
0. 导言 进程监控可以通过挂钩SSDT表的NtOpenProcess来实现,但是现在这种方式已经不怎么用了,因为不稳定在者可能会被认为是恶意软件。微软知道这个问题所以为我们提供了专门的内核接口来实现这种功能。 1. PsSetCreateProcessNotifyRoutine 通过PsSetCreateProcessNotifyRoutine来监控进程, 该内核函数有个升级版PsSetCreateProcessNotifyRoutineEx。这个升级版功能更强大但只能在Vista版本以后使用,
Linux 内核模块及系统监控
每天都要进步的博客
07-01 2561
内核模块及系统监控Linux系统内核模块Linux系统内核模块功能控制Linux系统内核模块手工装入内核模块/proc虚拟文件系统/proc虚拟文件系统的特色永久保存/proc/sys下的配置检测和监督硬件设备PCI总线系统监视工具top系统监视工具free系统监控工具iostat带有 -ef选项的ps命令列出目前在系统上被调度运行的所有进程pgrep命令进程监控命令pstree控制进程的信号(Signal)kill命令pkill命令及组合键 Linux系统内核模块 Linux系统内核模块是对Linux小
4种使用内核安全功能进行进程监控的方法
k8scaptain的博客
01-13 260
Kubernetes默认pod配置的巨大攻击面易受严重安全漏洞的影响,其一些漏洞包括恶意攻击和容器漏洞。
驱动开发:内核监控进程线程创建
CSDN
10-14 9141
监控进程的启动与退出可以使用 `PsSetCreateProcessNotifyRoutineEx` 来创建回调,当新进程产生时,回调函数会被率先执行,然后执行我们自己的`MyCreateProcessNotifyEx`函数,并在内部进行打印输出。而检测线程操作与检测进程差不多,检测线程需要调用`PsSetCreateThreadNotifyRoutine` 创建回调函数,然后就可以检测线程的创建了。
一文带你掌握监控进程技术实现
深耕安全技术研究
03-01 4126
文章目录1.技术应用背景2.效果展示3.功能代码实现4.知识背景清单5.WMI相关概念6.WMI架构解析 1.技术应用背景 目前已知在杀毒厂商以及游戏厂商的安全对抗过程,常常需要准确的监控收集并进行检测用户创建打开的EXE应用程序是否是安全的。同时也可以将此技术应用于其他应用的安全对抗方案。那么如何去准确的监控和收集用户每次点击打开的EXE应用程序信息呢?接下来我就进行还原实现下如何准确的监控并收集用户每次点击打开EXE应用程序技术。 2.效果展示 下图展示的是开启监控程序,这是进行监控电脑上包括系统自
进程监控,监视进程启动与退出最稳定的方法,不占CPU,不漏进程
QQ1289671197的博客
10-15 1940
一些应用,要用到判断某个进程或者所有进程的启动与退出事件。比如,我们做局部代理软件时,就要判断某个进程运行了没有,退出了没有。或者守护进程功能等。 很早以前,大家可能用得多一点的是用枚举进程,或者VMI来监视进程启动或退出。 但是这两种方法都存在着占用资源过高,VMI还在某些精简版的WIN系统给禁用了从而引起监视不到问题出现。 后来经过大量市场测试,发现用回调函数PsSetCreateProc...
深入解析Windows 2000内核进程线程活动详解
2. 进程线程活动理解:学习者将学会如何查看和分析进程的详细信息,如打开的文件句柄、I/O活动以及安全属性。此外,还会探讨线程的使用情况,特别是那些在核心态运行的系统线程与驱动程序或操作系统组件之间的关系...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值