进程监控和线程监控

最新推荐文章于 2024-06-17 13:38:05 发布
最新推荐文章于 2024-06-17 13:38:05 发布
阅读量557 收藏
点赞数
分类专栏: 内核安全编程 文章标签: 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41490873/article/details/108268002
版权

进程监控1

#include <ntifs.h>
#include<ntddk.h>

NTKERNELAPI
PUCHAR
PsGetProcessImageFileName(
IN PEPROCESS Process
);


VOID
ProcessNotifyRoutine(
_In_ HANDLE ParentId,
_In_ HANDLE ProcessId,
_In_ BOOLEAN Create
)
{
	NTSTATUS status = 0;
	PEPROCESS process = NULL;

	if (Create == TRUE)
	{
		//创建进程回调
		status = PsLookupProcessByProcessId(ProcessId, &process);
		if (NT_SUCCESS(status))
		{
			KdPrint(("进程创建:%s\n", PsGetProcessImageFileName(process)));
		}
	}
	else
	{
		
		status=PsLookupProcessByProcessId(ProcessId, &process);
		if (NT_SUCCESS(status))
		{
			//结束进程回调
			if (_stricmp(PsGetProcessImageFileName(process), "qqq.exe") == 0)
			{
				DbgBreakPoint();
				KdPrint(("进程结束:%s\n", PsGetProcessImageFileName(process)));
			}
		}
		
	}

	if (process)
	{
		ObDereferenceObject(process);
		process = NULL;
	}
}

VOID DriverUnload(IN PDRIVER_OBJECT pDriverObject)
{
	//移除进程回调
	//PsSetCreateProcessNotifyRoutineEx(ProcessNotifyRoutine, TRUE);
	PsSetCreateProcessNotifyRoutine(ProcessNotifyRoutine, TRUE);
	KdPrint(("驱动卸载成功\n"));
}
NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING RegistryPath)
{
	NTSTATUS status =STATUS_SUCCESS;
	pDriverObject->DriverUnload=DriverUnload;
	
	//添加进程回调
	PsSetCreateProcessNotifyRoutine(ProcessNotifyRoutine, FALSE);
	return status;

}

进程监控2

需要在链接器->命令行加上如下命令

/INTEGRITYCHECK

使用软件CFF Explorer 可以看到Code Integrity Image被加上了

在这里插入图片描述

#include <ntifs.h>
#include<ntddk.h>

NTKERNELAPI
PUCHAR
PsGetProcessImageFileName(
IN PEPROCESS Process
);

VOID
ProcessNotifyRoutineEx(
_Inout_ PEPROCESS Process,
_In_ HANDLE ProcessId,
_Inout_opt_ PPS_CREATE_NOTIFY_INFO CreateInfo
)
{
	if (CreateInfo!=NULL)
	{
		//创建进程回调
		
		KdPrint(("创建进程%wZ 父进程id%d\n",CreateInfo->ImageFileName,CreateInfo->ParentProcessId));
		if (!_stricmp(PsGetProcessImageFileName(Process),"calc.exe")==0)
		{
			CreateInfo->CreationStatus = STATUS_ACCESS_DENIED;
		}
	}
	else
	{
		//结束进程回调
		
		KdPrint(("进程结束:%s\n",PsGetProcessImageFileName(Process)));
	}
}


VOID DriverUnload(IN PDRIVER_OBJECT pDriverObject)
{
	//移除进程回调
	//PsSetCreateProcessNotifyRoutineEx(ProcessNotifyRoutine, TRUE);
	PsSetCreateProcessNotifyRoutineEx(ProcessNotifyRoutineEx, TRUE);
	KdPrint(("驱动卸载成功\n"));
}
NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING RegistryPath)
{
	NTSTATUS status =STATUS_SUCCESS;
	pDriverObject->DriverUnload=DriverUnload;
	

	//xp下不能使用  需要WIN7以上
	status=PsSetCreateProcessNotifyRoutineEx(ProcessNotifyRoutineEx, FALSE);
	return status;

}

线程监控

当线程创建和销毁的时候,线程回调是运行在目标线程的线程上下文中的。

#include <ntifs.h>
#include<ntddk.h>

NTKERNELAPI
PUCHAR
PsGetProcessImageFileName(
IN PEPROCESS Process
);

VOID
CreateThreadRoutine(
_In_ HANDLE ProcessId,
_In_ HANDLE ThreadId,
_In_ BOOLEAN Create
)
{
	PEPROCESS pEprocess;
	NTSTATUS status=PsLookupProcessByProcessId(ProcessId,&pEprocess);
		if(!NT_SUCCESS(status))
		{
			KdPrint(("获取进程对象失败%x\n",status));	
			return ;
		}
	if (Create)
	{
		KdPrint(("进程:%s线程创建\n",PsGetProcessImageFileName(pEprocess)));
	} 
	else
	{
		KdPrint(("进程:%s线程销毁\n", PsGetProcessImageFileName(pEprocess)));
	}
}

VOID DriverUnload(IN PDRIVER_OBJECT pDriverObject)
{

	PsRemoveCreateThreadNotifyRoutine(CreateThreadRoutine);
	KdPrint(("驱动卸载成功\n"));
}
NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING RegistryPath)
{
	NTSTATUS status =STATUS_SUCCESS;
	pDriverObject->DriverUnload=DriverUnload;

	PsSetCreateThreadNotifyRoutine(CreateThreadRoutine);
	return status;

}
qq_857305819
关注
专栏目录
线程调度分析、监控工具(demo)
12-04
线程调度图形化分析工具,根据优先级依次分行排列线程信息:分别显示 序号、优先级、线程名、线程调度运行图形化信息 可以统计运行次数、调度次数、实际运行时间、运行总时间(含被抢占时间)、有效运行时间比(实际运行时间/运行总时间),CPU使用率 可以在线监控,也可以导入数据分析 demo例程使用ti sys\bios 系统做演示,内含演示源代码及相应的数据 demo使用方式:加载.dat数据以及.out程序文件,通过ctrl+滚轮控制缩放,通过垂直、水平滚动条控制图形上下左右移动
易语言多线程监控进程
07-21
在本主题中,我们聚焦于"易语言多线程监控进程"这个技术点,将深入探讨如何使用易语言实现多线程监控系统中的进程,并获取其状态,以及如何处理相关的操作,如进入、退出和关闭线程,以及在特定事件发生时发送邮件...
内核 进程监控 线程监控
qq_41071646的博客
01-16 336
唉  最近学习感觉有点学不懂了 有点头蒙  都有点想放弃了 最后还是坚持一下吧 看内核看不懂了 就去pwn     昨天确实有点瞎想了  有些东西未来再说 现在 为时太早  然后 今天 搞得是  内核进程监控  然后还是根据看雪分享的教程 写的 作者是 Tesla.Angela 然后  这里 并非是 HOOKSSDT 而是 用的   VOID CreateProcessNotifyEx...
线程监控是怎么做的?
2401_84419325的博客
06-17 1050
定时任务: 使用 ScheduledExecutorService 或者 Spring 的 TaskScheduler 等定时执行任务,周期性地获取线程池状态。数据存储和展示: 将获取的线程池指标存储到数据库(如MySQL、InfluxDB等)或者时序数据库,通过监控系统(如Grafana)展示和分析数据。@Component@Autowired@Autowired@Scheduled(fixedRate = 60000) // 每分钟执行一次// 存储监控数据。
性能测试--1服务器监控--1.1进程线程
weixin_44934430的博客
07-12 183
进程线程的定义 **进程:**进程是具有一定独立功能的程序,关于某个数据集合上的一次运行活动,是系统进行资源分配和调度的一个独立单位. 举例:linux下运行top,top就是一个独立的进程,windos下运行qq,qq就是一个独立的进程 **线程:**线程进程的一个实体,是cpu调度和分配的基本单位,他是比进程更小的能独立运行的基本单位,线程自己基本上不拥有系统资源,只拥有一点在运行中必不可少的资源.一个线程可以创建和撤销另一个线程. **总结:**一个进程可以拥有多个线程,线程之间可以互相进行操作,
4.4 Windows驱动开发:内核监控进程线程创建
CSDN
11-18 1万+
在 PsSetCreateThreadNotifyRoutine 函数中注册的回调函数应该符合这个函数指针的定义,以便在新线程被创建或销毁时被调用。和进程ID作为参数传递给回调函数。来删除已注册的回调函数,目前该函数只需要一个参数,只需要传入注册时的函数指针即可;来说,它指向一个回调函数,用于通知进程中新线程的创建。当一个新的线程被创建时,操作系统会调用所有已注册的回调函数,并将新线程的。是一个指向回调函数的指针,该函数将在新进程创建或退出时被调用。回调函数,该回调函数将在每个进程的创建和退出时被调用。
Jstack-线程监控
condoleeA的专栏
12-20 2061
=========================================================================================     线程的五种状态  * 新建:new  * 运行:runnable  * 等待:waitting(无限期等待),timed waitting(限期等待)  * 阻塞:blocked  * 结束:te
易语言多线程监控进程源码
06-02
本文将深入探讨标题中的“易语言多线程监控进程源码”,并结合描述中的信息,分享关于易语言、多线程以及进程监控的相关知识点。 首先,我们需要理解什么是多线程。在计算机科学中,线程是程序执行的最小单元,每个...
【很实用的两款小工具】系统进程以及线程监控小工具.rar
10-25
很实用的两款小工具,攻防测试工具必备: 启动procexp.exe后,我们可以在你需要查看的进程上右键>属性查看,也可以直接双击或点击工具栏上方的手势按钮,打开后我们可以看到程序的路径,参数,...d.procexp的进程监控功能
linux 系统cpu占用率,进程线程状态监控,shell脚本
最新发布
07-13
linux 系统cpu占用率,进程线程状态监控,shell脚本。linux系统架构下用于正常监控程序运行状态以及cpu占用率,日志系统等
C# winform windows版本的进程监控,基于多线程Quartz实现,每10秒监测一次
03-28
C# winform windows版本的进程监控,基于多线程Quartz实现,每10秒监测一次。 1.进程监控每10秒监测一次。 2.红色表示 对其监控,但是未运行 3.灰色表示未启用对当前进程监控 4.白色表示正常运行的进程信息
vs2010 c++ 文件夹文件监控系统软件
12-30
此工程代码是用vs2010编译的,该程序是使用线程来实时监控指定目录下文件、文件夹的变化(添加、删除、修改)
内核态进行进程线程监控
輚至消亡
03-21 849
进程监控主要使用PsSetCreateProcessNotifyEx 线程监控主要使用PsSetCreateThreadNotify 主要需要注意一点就是,这种方式的使用条件是需要强制完整性检查。可以通过/integritycheck选项添加。 或者网上有一种绕过方式, 在调用上面那两个函数前首先调用下面这个函数,如果执行成功即可绕过强制完整性检查。 BOOLEAN BypassCheckSign(PDRIVER_OBJECT pDriverObject) { #ifdef _WIN64 ..
驱动开发:内核枚举进程线程ObCall回调
热门推荐
CSDN
10-22 1万+
首先我们需要定义好结构体,结构体是微软公开的,如果有其它需要请自行去微软官方去查。线程回调,之所以放在一起来讲解是因为这两中回调在枚举是都需要使用通用结构体。中我们通过特征码定位实现了对注册表回调的枚举,本篇文章。的枚举,如果是想要输出线程句柄,则只需要替换代码中的。就可以拿到链表头结构,得到后将其解析为。代码部分的实现很容易,由于进程与。所以放在一起来讲解最好不过。运行这段驱动程序,即可得到。运行这段驱动程序,即可得到。将教大家如何枚举系统中的。即可,修改后的代码如下。的枚举很容易,直接通过。
64位内核开发第十二讲,进程监视,ring3跟ring0事件同步.
weixin_30315435的博客
06-09 288
一丶同步与互斥详解,以及实现一个进程监视软件. 1.用于线程同步的 KEVENT 事件很简单分别分为 事件状态. 以及事件类别. 事件状态: 有信号 Signaled 无信号 Non-signaled 事件类别 自动恢复 Synchronization 自动设置 不自动恢复. Notification 手动设置 事件的创建函数 ** IoCreateNotificationEvent() ** *...
进程线程创建与退出监视(DBGVIEW打印)
weixin_34191734的博客
05-27 197
曾经想着做个自己的主动防御项目,就是监控而已,实现RING3通信,各方参考学习,想着HOOK 来着 但是有一次知道了无HOOK的方式,感觉这挺方便呀 还是微软承认的函数,那我就实现一套监控的方案,考虑到逆向分析的话就准备后面 有事没事空闲了就去尽量实现HOOK的方式,希望一切顺利,少蓝屏几次。谢谢胡老师教程指导! 这里是代码和注意:实现的是监控进程线程创建退出,如果calc创建则阻止创...
VS中调试时监控线程的最后错误代码
weixin_30707875的博客
08-29 259
进行调试的时候,监控线程的最后错误代码是非常有用的。 在 Microsoft Visual studio 中,Microsoft 的调试程序支持一个非常有用的特性,即可以配置 Watch 窗口,以便始终都能显示线程的最后错误代码的号码和该错误的英文描述。 通过选定 Wa t c h窗口中的一行,并键入“@err, hr” ,就能够做到这一点。 转载于:https://www.cnblogs.c...
线程监控和动态配置
BASK2312的博客
12-14 1646
— 《Java并发编程实战》线程池是一种 “池化” 的线程使用模式,通过创建一定数量的线程,让这些线程处于就绪状态来提高系统响应速度,在线程使用完成后归还到线程池来达到重复利用的目标,从而降低系统资源的消耗。「线程管理」部分是消费者,它们被统一维护在线程池内,根据任务请求进行线程的分配,当线程执行完任务后则会继续获取新的任务去执行,最终当线程获取不到任务的时候,线程就会被回收。类型的变量,是对线程池的运行状态和线程池中有效线程的数量进行控制的一个字段,它同时包含两部分的信息,线程池的运行状态(
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值