ring0层监视进程与线程

最新推荐文章于 2023-03-25 11:36:22 发布
最新推荐文章于 2023-03-25 11:36:22 发布
阅读量598 收藏 2
点赞数
分类专栏: Windows内核研究
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44286745/article/details/104367316
版权

项目属性--->链接器---->命令行的其他选项加入     /INTEGRITYCHECK 

#include <ntifs.h>
#include <ntddk.h>

VOID CreateProcessNotifyEx(
	_Inout_  PEPROCESS              Process,
	_In_     HANDLE                 ProcessId,
	_In_opt_ PPS_CREATE_NOTIFY_INFO CreateInfo
)
{
	if (CreateInfo!=NULL)
	{
		KdPrint(("进程%s创建 PID:%d\n", PsGetProcessImageFileName(Process),ProcessId));
	}
	else
	{
		KdPrint(("进程%s退出 PID:%d\n", PsGetProcessImageFileName(Process), ProcessId));
	}
}

VOID ThreadNotifyRoutine(
	IN HANDLE  ProcessId,
	IN HANDLE  ThreadId,
	IN BOOLEAN  Create
)
{
	PEPROCESS Process;
	PsLookupProcessByProcessId(ProcessId, &Process);
	if (Create)
	{
		KdPrint(("创建线程%s:%d tid=%d\n", PsGetProcessImageFileName(Process), ProcessId, ThreadId));
	}
	else
	{
		KdPrint(("消毁线程%s:%d tid=%d\n", PsGetProcessImageFileName(Process), ProcessId, ThreadId));
	}
}

VOID Unload(IN PDRIVER_OBJECT DriverObject)
{
	//移除回调
	PsRemoveCreateThreadNotifyRoutine(ThreadNotifyRoutine);
	PsSetCreateProcessNotifyRoutineEx(CreateProcessNotifyEx, TRUE);
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath)
{
	NTSTATUS status;
	//注册回调
	status = PsSetCreateProcessNotifyRoutineEx(CreateProcessNotifyEx, FALSE);
	KdPrint(("驱动加载"));
	if (NT_SUCCESS(status))
	{
		status=PsSetCreateThreadNotifyRoutine(ThreadNotifyRoutine);
		if (NT_SUCCESS(status))
		{
			KdPrint(("注册成功\n"));
		}
		else
		{
			KdPrint(("注册失败%x\n", status));
		}
	}
	else
	{
		KdPrint(("注册失败%x\n", status));
	}
	DriverObject->DriverUnload = Unload;
	return STATUS_SUCCESS;
}

 

内存修改(Ring0)
KOOKNUT的博客
04-08 811
实现两个Ring3进程虚拟地址空间中的数据拷贝,实现思路:
ring0驱动内核级注册表监控程序.zip
01-27
ring0驱动内核级注册表监控程序.zip
基于Ring0的监控程序实现
weixin_30419799的博客
09-06 203
写这类的程序关键是封了进入ring0的方法 守住ring0这块高地 其它的什么都不怕.......通过ssdt hook实现进程创建,注册表修改和内核模块加载的监控...创建进程:hook 了ZwCreateProcess 其实很多方法不用调用ZwCreateProcess而创建进程, 更好的办法是再hook NtCreateSection具体参考codeproject上的文章Ho...
Windows 10 x64 Ring0 遍历进程
最新发布
zcy5157912的博客
03-25 272
原理:进程PID都为4的整数倍
WinIo,直接访问硬件,ring0,驱动
03-01
WinIo,ring0级超级强大的驱动,直接访问硬件,端口读写。
第六章 :进程
weixin_33766168的博客
05-16 52
第六章 :进程,妈的终于推进到进程了。 我们需要一个数据结构记录进程的状态,在进程要被挂起的时候,进程信息就被写入这个数据结构,等到进程重新启动的时候,这个信息重新被读出来。 诱发进程切换的原因不只一种,比较典型的是发生了时钟中断。当时钟中断时,中断处理程序将会把控制权交给进程调度模块。 这时如果系统认为应该进行进程切换,进程切换就发生了,当前进程的状态就会被保存起来,队列中的下一个进程将被...
Windows Ring3注入——CreateProcess劫持进程创建注入(三)
qq_38493448的博客
01-16 1565
Windows Ring3注入——CreateProcess劫持进程创建注入(三)CreateProcess劫持进程创建注入原理劫持进程创建注入好处CreateProcess劫持进程创建注入函数原型**CreateProcess**函数原型CreateProcess劫持进程创建注入步骤CreateProcess劫持进程代码示例 CreateProcess劫持进程创建注入原理 劫持进程创建注入:利...
Ring3进程内核查看,参照xuetr部分功能
06-02
在IT领域,Ring3进程和内核查看是操作系统安全性和调试技术的重要组成部分。"Ring3进程内核查看,参照xuetr部分功能"这个标题暗示了我们正在讨论一种技术,它允许用户在Ring3级别(用户模式)查看操作系统的内核信息...
Ring3键盘监控与修改技术探究
在Ring3进行键盘监控,常用的是全局钩子和线程钩子。 - **全局钩子**:可以监控整个系统中的键盘事件,但需要在DLL中实现,并在其他进程中安装。 - **线程钩子**:只能监控和修改当前线程的键盘消息。 #### 3. ...
进程之远程线程保护
SR0ad的涅盘地
09-26 733
在Ring3对进程进行保护的方法总是很乏力,HOOK一些Ring3的函数,对进程名或进程ID进行判断等。今天看了一个比较老的方法,远程线程保护,整理代码,学习到不少,在此记录跟大家分享。 线程保护的思路让其它程序监视自身,如果自身程序退出,那么监视程序就重新启动该程序。使用远程线程监视代码插入到其他进程,例如winlogon.exe等系统进程。将自己进程的句柄传给保护进程,保护进程通过用Wa
显示所有消息钩子hook_并没有使用gSharedInfo. ring3是DELPHI编写的,ring0是C编写的驱动.zip
01-28
Ring3的钩子则仅限于当前进程线程。 3. **DELPHI**:这是一种基于Pascal语言的集成开发环境,常用于快速开发Windows应用程序。在本项目中,DELPHI用于编写用户模式下的钩子代码,可以方便地调用Windows API并创建...
(转载)安全稳定的实现线程监控
Kendiv's Box
03-26 5267
安全稳定的实现线程监控创建时间:2005-03-24文章属性:原创文章提交:suei8423 (suei8423_at_163.com)安全稳定的实现线程监控作者:ZwelL    用PsSetCreateProcessNotifyRoutine,PsSetCreateThreadNotifyRoutine来进行进程线程监控我想大家已经都非常熟练了.sinister在>一文中已经实现得很好了.
windows事件id大全_你不知道的威胁狩猎技巧:Windows API 与 Sysmon 事件的映射
weixin_39611331的博客
12-03 552
简介从防御的角度来看,我们应用于安全的最危险的事情之一就是假设。假设是造成不确定性的盲点。通过在检测过程中枚举和消除尽可能多的假设,我们限制了攻击面和敌人可以逃避我们检测努力的区域。虽然总会有盲点,但是知道盲点总比不知道盲点好。如果我们意识到我们的盲点,我们就可以在我们的检测努力中更有准备和更有效率。问题: 我们如何限制盲点和假设的数量?答: 发现攻击面并理解环境中的攻击向量。有了这样...
监视并控制进程的创建
商少
07-31 1106
我们都知道,进程的创建会涉及比较多的行为,从开始的创建进程空间,创建句柄表等内核功能,之后映射可执行文件、主线程的运行,如果我们可以在其中的一个位置做手脚,进程的创建应该就会失败。这里我们使用的是系统回调函数的方法。 基本函数。 // 可以通知我们进程的创建 NTSTATUS PsSetCreateProcessNotifyRoutine( IN PCREATE_PROC
内核 进程监控 线程监控
qq_41071646的博客
01-16 349
唉  最近学习感觉有点学不懂了 有点头蒙  都有点想放弃了 最后还是坚持一下吧 看内核看不懂了 就去pwn     昨天确实有点瞎想了  有些东西未来再说 现在 为时太早  然后 今天 搞得是  内核进程监控  然后还是根据看雪分享的教程 写的 作者是 Tesla.Angela 然后  这里 并非是 HOOKSSDT 而是 用的   VOID CreateProcessNotifyEx...
进程创建通知回调通知例程的学习笔记
lixiangminghate的专栏
08-31 2313
转自:小刀志 在 Windows 操作系统中可以通过 PsSetCreateProcessNotifyRoutine 函数注册或移除一个进程创建通知回调例程。在 Vista 以及之后的版本中,微软加入 PsSetCreateProcessNotifyRoutineEx 新的函数来注册创建进程通知。通过判断系统版本来对应不同的操作系统调用不同的注册函数。 而在 Vista 之前的系统
ring0启动一个Win32进程 【译文】
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-23 626
ring0启动一个Win32进程 【译文】 文章原址:http://www.codeproject.com/useritems/KernelExec.asp Download source files - 55 Kb  Download demo project - 27 Kb  介绍 在许多不成功的尝试来试图找到一种方式来以核心模式(KernelMode)来启动可运行的Wi
ring0调用Ring3的代码
05-11 4606
作者:VXK/CVC.GB时间:2005-02-05 每次上driverdevelop总看到有人问怎么在Ring0下调用Ring3的代码——Ring3使用Ring0已经是地球人全知道的事情了,但是ring0下使用ring3的代码恐怕很少有人知道,Ratter和Benny这两个高人以及Elzc的作者Elzcor各自提出过一种方法。总结起来就是三种方法,Zombie在2004年也提出过一个方法看起来像
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

吾无法无天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值