Windows内核编程【进程和线程通知】

已于 2023-07-07 11:21:31 修改
阅读量292 收藏 1
点赞数
分类专栏: windows内核 文章标签: 驱动开发 c语言 安全
于 2023-07-05 15:57:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45844442/article/details/131557618
版权

本章正如标题所言,主要讲了进程线程的通知回调相关的功能函数及其应用,主要如下:

1.进程回调相关:
PsSetCreateProcessNotifyRoutineEx(可以获取命令行等更多信息,创建注销是同一个函数)
PsSetCreateProcessNotifyRoutine

2.线程回调相关:
PsSetCreateThreadNotifyRoutine(创建)
PsSetCreateThreadNotifyRoutine(注销)
3.映像回调相关:
PsSetLoadImageNotifyRoutine(创建)
PsSetLoadImageNotifyRoutine(注销,没有回调机制)

有了以上的信息,简单使用进程相关的API进行监控进程创建,代码如下:

#include <ntddk.h>

NTSYSCALLAPI PCHAR PsGetProcessImageFileName(IN PEPROCESS pProcess);

VOID ProcessNotifyEx(
    _Inout_ PEPROCESS Process,
    _In_ HANDLE ProcessId,
    _Inout_opt_ PPS_CREATE_NOTIFY_INFO CreateInfo
)
{

    DbgPrint("ProcessNotifyEx: %s (%d)\n", PsGetProcessImageFileName(Process), HandleToULong(ProcessId));
}

NTSTATUS DriverUnload(
    _In_ PDRIVER_OBJECT DriverObject
)
{
    // 注销进程创建通知例程
    PsSetCreateProcessNotifyRoutineEx(ProcessNotifyEx, TRUE);

    DbgPrint("Driver unloaded successfully\n");
    return STATUS_SUCCESS;
}

NTSTATUS DriverEntry(
    _In_ PDRIVER_OBJECT DriverObject,
    _In_ PUNICODE_STRING RegistryPath
)
{
    NTSTATUS status = STATUS_SUCCESS;

    // 注册进程创建通知例程
    status = PsSetCreateProcessNotifyRoutineEx(ProcessNotifyEx, FALSE);

    if (!NT_SUCCESS(status))
    {
        DbgPrint("Failed to register process notify routine (status: %08x)\n", status);
        return status;
    }

    DbgPrint("Driver loaded successfully\n");
    DriverObject->DriverUnload = DriverUnload;

    return status;
}

注意

使用这种回调函数的时候,是需要在链接器加入/INTEGRITYCHECK 才能正常的加载上驱动,也就是所说的绕过MmVerifyCallbackFunction,此外还可以直接通过DriverSection->DriverSection->Flags |= 0x20来过掉这个检测

参考资料:
《Windows 内核编程》作者: [美] 帕维尔·约西福维奇(Pavel Yosifovich)

mi-key
关注
专栏目录
Windows核心编程》若干知识点实战应用分享
dvlinker的技术专栏
01-21 3万+
Windows核心编程》若干知识点应用实践分享,希望大家能够仔细研读,在提升理论知识水平的同时,也能有效地提高分析解决问题的技能。
从汇编语言到Windows内核编程_Kernel_win32asm_Asm_
10-02
从汇编语言到Windows内核编程 驱网核心技术丛书 天书夜读
什么是Windows内核编程
博文视点(北京)官方博客
12-03 8161
什么是Windows内核编程?上述文字由《天书夜读:从汇编语言到Windows内核编程》作者  谭文  提供    Linux的内核编程大家都是比较熟悉的。而Windows内核编程则不大为一般读者所熟悉。常常有这样的问题:    “你又没有Windows的代码,你如何搞内核编程?”    “除了微软的人,难道还有人做Windows内核吗?”    “Windows内核编程有用吗?”    其实Wi
WINDOWS内核编程(一)Hello Drv的实现
weixin_34342905的博客
04-17 267
我们开始编写第一个驱动程序,首先我们需要进行项目的创建,在以前的随笔中,我们已经学会了如何去建立双机调试环境。 我们打开VS2017,建立如图所示的项目,取名为:MyFirstDriver.点击确定 由于,我写这个都是写.C的文件,因此我尝试使用.CPP文件,实现一下第一个FirstDriver. 建立一个.cpp文件。 然后输入我们的代码 #ifdef __cplusplu...
Windows内核编程之:字符串操作(转载)
feixi7358的博客
12-12 431
记录一下,以后方便查找 https://blog.csdn.net/DontBeProud/article/details/77951837 https://www.cnblogs.com/qintangtao/archive/2013/04/15/3023092.html
寒江独钓-Windows内核安全编程完整版(内附源码)
01-25
完整的零基础学习windows驱动编程(内附源码)。内核编程环境配置;串口过滤、键盘过滤;磁盘虚拟;磁盘过滤;文件系统过滤与监控;文件系统透明加密;文件系统微过滤;网络传输层过滤;NDIS协议驱动;NDIS小端口驱动;NDIS中间层驱动
Windows 内核编程驱动程序:从头到尾】
最新发布
qq_45844442的博客
05-31 508
本章主要因为Windows的API功能太弱,只能对线程设置几个级别,于是调用驱动的API来进行设置线程优先级别,于是客户端与驱动的代码如下。
从汇编语言到Windows内核编程_Windows编程_
10-02
通过学习《从汇编语言到Windows内核编程》,读者不仅可以深入理解Windows操作系统的工作原理,还能具备进行内核编程的技能,这对于系统开发者、驱动开发者和性能优化专家来说是极其宝贵的资源。
寒江独钓--windows内核安全编程光盘源码_寒江独钓windows内核安全编程_
09-30
总之,《寒江独钓--Windows内核安全编程光盘源码》提供了丰富的实践案例,是你深入理解Windows内核编程、提升安全编程能力的宝贵资料。通过仔细研究和实践其中的代码,你可以逐步提升自己的技术水平,为构建更安全、...
编程技术_Windows 内核进程隐藏侦测技术-综合文档
05-19
1. **Windows内核**:Windows内核是操作系统的核心部分,负责管理系统的硬件资源,如CPU、内存,以及提供系统服务,如进程管理、线程管理、设备驱动等。它是所有系统服务、设备驱动程序及用户应用程序的基础。 2. *...
windows内核安全编程
02-28
史上最强大的windows内核系统文档,该文档详细介绍了windows内核编程技术
寒江独钓《Windows内核安全编程
05-05
编写Windows内核程序,就意味着这个程序可以执行任意指令,可以访问计算机所有的软件、硬件资源。因此,稍有不慎就有可能将系统变得不稳定。Windows的设计者设计了各种驱动模型或者框架,如NT式内核驱动模型、WDM框架和新推出的WDF框架。在这些模型框架下编程,就使内核编程变得简单,同样也降低了内核程序崩溃的机会。其实,Windows驱动程序员和黑客都在写内核程序,唯一不同的是驱动程序员按照微软设计的模型写程序,而黑客可以不按照这些框架写。Windows设计的这些框架,可以将操作系统的原理隐藏起来,只暴露一些接口,驱动程序员只要把这些接口写好就可以了。从这个角度看,驱动开发并不难,尤其是读完本书后,更会觉得不难了。但是想完成一些特殊的功能,如内核级隐藏进程等,Windows的这些框架就没什么用处了,程序员就需要对Windows内核有全面的了解,通过直接修改Windows内核来实现这些目的。往往黑客对这种技术乐此不疲,通过修改Windows内核,你会发现你的程序几乎无所不能。   编写内核程序是一件很痛苦的事情,回想起这些年学习内核程序开发的经历,真是感慨万千。就如同谭文所说:编写内核程序的人从某种程度讲是孤独的。当一个经验并不丰富的小程序员面对庞大复杂的并且不开源的Windows框架时,那是一种怎样的无助感啊!谭文是我比较钦佩的程序员之一,他对技术非常执着,并且精力充沛。内核程序的知识涉及面非常广,不同类别的内核程序差别也特别大,他几乎都有所涉猎。相信读者在读完这本书后,能对Windows内核开发有比较详细的了解,同时也能结合书中的实例写出很优秀的内核程序了 本书从Windows内核编程出发,全面系统地介绍了串口、键盘、磁盘、文件系统、网络等相关的Windows内核模块的编程技术,以及基于这些技术实现的输入密码保护、防毒引擎、文件加密、网络嗅探、网络防火墙等信息安全软件的核心组件的具体编程。主要知识重点包括:Windows串口与键盘过滤驱动Windows虚拟存储设备与存储设备过滤驱动Windows文件系统过滤驱动、文件系统透明加密/解密驱动Windows各类网络驱动(包括TDI过滤驱动及3类NDIS驱动),以及最新的WDF驱动开发模型。有助于读者熟悉Windows内核驱动的体系结构,并精通信息安全类的内核编程技术。本书的大部分代码具有广泛的兼容性,适合从Windows 2000一直到目前最新的Windows 7 Beta版。  本书则基本上介绍的是正统的内核编程技术,是微软在内核编程中给信息安全软件开发者提供的相关接口的大集合,是名门正派的技术,不沾邪气。一个好的内核程序员,“正邪兼修”是有必要的。   本书既适合于有志于成为软件程序员的学生使用,也适合于希望加强自己的技术实力的Windows程序员阅读,同时更适合于从事信息安全行业的Windows软件的开发者作为手头参考。
Windows核心编程之一
cwbguaijie的专栏
12-18 246
操作系统内核是指大多数操作系统的核心部分。它由操作系统中用于管理存储器、文件、外设和系统资源的那些部分组成。操作系统内核通常运行进程,并提供进程间的通信。 内核对象 每个内核对象都只是一个内存块,它由操作系统内核分配,并只能由操作系统内核访问。这个内存块是一个数据结构,其成员维护着与对象相关的信息。少数成员(安全描述符和使用计数器等)是所有对象都有的,但其他大多数成员都是不同类型的对象特有
Windows内核编程笔记(一)
lhyzws的专栏
04-27 3369
介绍了使用VMWare或者Hyper-V虚拟机搭建传统的Windows内核编程开发调试环境的方法,并利用VS2015新建了一个极其简单的NT式驱动程序HelloWorld,通过介绍HelloWorld的安装、调试和设置DbgPrint过滤等知识,概要展现一个内核开发调试环境的搭建和使用方式。
内核编程
datouyu0824的博客
03-22 2329
内核编程 一. 驱动程序概述 1. 介绍 每一个进程都有一个4GB的进程空间,储存了进程需要的所有代码和数据,并分为用户空间和内核空间 不同进程的用户空间相互隔离,互不影响,共享内核空间,操作系统通过内核层代码给应用程序提供支持 用户空间代码不能直接访问内核空间,执行的命令也有限制,内核空间代码可以执行特权指令,用户层访问内核层也需要通过特定的接口 我们编写的驱动程序,并非是平时我们看到的一个能够运行的程序,而是加载到内核空间中,成为操作系统的一部分,作为应用程序与硬件的桥梁,为应用程序提供支持的一个模块
Windows内核编程(一)第一个驱动的编写,以及生成
懒羊羊的梦想
07-30 535
内核编程 内核入口函数 NTSTATUS DriverEntry( PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath ) 第一个参数表示驱动对象指针:驱动运行后,OS在内存中为其分配了一个DRIVER_OBJECT的数据结构,里面记录这个驱动的一些信息。 第二个参数表表示当前驱动所对应的注册表的位置 typedef struct _UNICODE_STRING{ USHORT Lenghl; USHORT MaximumLengt
Windows内核编程(二)-第一个内核程序
qq_40277608的博客
11-16 4244
第一个内核程序 通过 Visual Studio新建工程 注意事项: 大部分widnows驱动程序都是内核驱动(Kernel Driver),所以本笔记不分"驱动程序"与"内核编程",也不区分"内核模块"(Kernel Module)、“驱动程序”(Driver)与"内核程序",这些词汇统一指编译出的扩展名为".sys"的可执行文件(并非强制扩展名为.sys),也不区分"应用层"与"用户态"。 驱动分类: NT驱动 最简单的驱动模型,不支持硬件特性 WDM驱动 在NT驱动的基础上引入的一套驱动模型,支持即
windows内核编程 谭文_Windows核心编程随笔
weixin_39860952的博客
11-24 828
最近在学习Windows底层原理,准备写个系列文章分享给大家,Michael Li(微软实习期间的Mentor,为人超好)在知乎回答过一些关于学习[Windows原理的书籍推荐](微软官方有没有公布过Windows的工作细节?),大家可以拜读其中一本来入门。我是先从《Windows核心编程》开始了解一些Windows底层管理与硬件交互的原理,然后买了一套冬瓜哥撰写的《大话计算机》系列丛书,学有余力...
windows内核编程基础-1
Starr
12-23 511
文章目录3. 驱动对象结构体4. 设备对象4.0 创建和销毁4.1 结构体4.2 通讯4.2.0 设备对象的2种通讯方式4.2.1 读写方式通讯4.2.2 控制码方式通讯4.3 符号链接4.3.0 作用4.3.1 分类4.3.2 创建与销毁5. IRP和派遣函数5.0 IRP头部5.1 IO_STACK_LOCATION5.2 IRQL windows内核虽然用c实现,但也有面向对象的思想,下面是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值