ring0层监视进程与线程

最新推荐文章于 2023-03-25 11:36:22 发布
最新推荐文章于 2023-03-25 11:36:22 发布
阅读量565 收藏 2
点赞数
分类专栏: Windows内核研究
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44286745/article/details/104367316
版权

项目属性--->链接器---->命令行的其他选项加入     /INTEGRITYCHECK 

#include <ntifs.h>
#include <ntddk.h>

VOID CreateProcessNotifyEx(
	_Inout_  PEPROCESS              Process,
	_In_     HANDLE                 ProcessId,
	_In_opt_ PPS_CREATE_NOTIFY_INFO CreateInfo
)
{
	if (CreateInfo!=NULL)
	{
		KdPrint(("进程%s创建 PID:%d\n", PsGetProcessImageFileName(Process),ProcessId));
	}
	else
	{
		KdPrint(("进程%s退出 PID:%d\n", PsGetProcessImageFileName(Process), ProcessId));
	}
}

VOID ThreadNotifyRoutine(
	IN HANDLE  ProcessId,
	IN HANDLE  ThreadId,
	IN BOOLEAN  Create
)
{
	PEPROCESS Process;
	PsLookupProcessByProcessId(ProcessId, &Process);
	if (Create)
	{
		KdPrint(("创建线程%s:%d tid=%d\n", PsGetProcessImageFileName(Process), ProcessId, ThreadId));
	}
	else
	{
		KdPrint(("消毁线程%s:%d tid=%d\n", PsGetProcessImageFileName(Process), ProcessId, ThreadId));
	}
}

VOID Unload(IN PDRIVER_OBJECT DriverObject)
{
	//移除回调
	PsRemoveCreateThreadNotifyRoutine(ThreadNotifyRoutine);
	PsSetCreateProcessNotifyRoutineEx(CreateProcessNotifyEx, TRUE);
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath)
{
	NTSTATUS status;
	//注册回调
	status = PsSetCreateProcessNotifyRoutineEx(CreateProcessNotifyEx, FALSE);
	KdPrint(("驱动加载"));
	if (NT_SUCCESS(status))
	{
		status=PsSetCreateThreadNotifyRoutine(ThreadNotifyRoutine);
		if (NT_SUCCESS(status))
		{
			KdPrint(("注册成功\n"));
		}
		else
		{
			KdPrint(("注册失败%x\n", status));
		}
	}
	else
	{
		KdPrint(("注册失败%x\n", status));
	}
	DriverObject->DriverUnload = Unload;
	return STATUS_SUCCESS;
}

 

吾无法无天
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
内存修改(Ring0)
KOOKNUT的博客
04-08 776
实现两个Ring3进程虚拟地址空间中的数据拷贝,实现思路:
易语言实现任务管理器-易语言
06-12
没事干搞了个任务管理器的源码 其实论坛有很多,相比那些新更新了 取进程的CPU占用率和判断进程是否暂停 可以监视进程创建与退出 以前的取CPU占用率不准了,就从C源码里翻出来的,可能比系统任务管理器中的显示的小一点,可能是使用的 四舍五入 处理过了吧 以前一直不知道怎么判断进程是否暂停 后来才知道是通过判断主线程的状态来处理的 RING3 下基本可以完成需要的功能,相比 RING0 下就是权限有限一些特殊的操作做不到 这几天正在搞驱动,监视进程创建与退出,进程方面的操作基本都搞好了 原来在 RING0下搞进程保护和隐藏什么的几行代码就能做到了 微软也为驱动提供了很多接口,像监视进程,模块,线程,文件,注册表,网络 都很方便,真心的强大。 昨天又找了份UDP网络的C源码,可以在驱动里创建内核级的 UDP,方便驱动能及时的给我的程序发送数据, 之前用的是 共享事件,但是会有延迟,不是很稳定,用这个就好多了 当然也支持TCP的客户端和服务端,能在内核里创建个服务器来用,虽然有源码,但是代码太多,还没看懂了 现在的系统都开启的强制签名验证,没签名的驱动都无法加载,还好前几天经过高人的指教把这个问题解决了 现在只要把代码的兼容性做好,就能在很多系统里使用了 昨天测试了几种系统,都可以正常的运行,哈哈。 虽然我搞驱动才几天,但是C源码比较多,学起来还是挺方便,大家遇到难题,可以去找找C源码看看。
易语言-易语言写任务管理器
06-25
没事干搞了个任务管理器的源码 其实论坛有很多,相比那些新更新了 取进程的CPU占用率和判断进程是否暂停 可以监视进程创建与退出 以前的取CPU占用率不准了,就从C源码里翻出来的,可能比系统任务管理器中的显示的小一点,可能是使用的 四舍五入 处理过了吧 以前一直不知道怎么判断进程是否暂停 后来才知道是通过判断主线程的状态来处理的 RING3 下基本可以完成需要的功能,相比 RING0 下就是权限有限一些特殊的操作做不到 这几天正在搞驱动,监视进程创建与退出,进程方面的操作基本都搞好了 原来在 RING0下搞进程保护和隐藏什么的几行代码就能做到了 微软也为驱动提供了很多接口,像监视进程,模块,线程,文件,注册表,网络 都很方便,真心的强大。 昨天又找了份UDP网络的C源码,可以在驱动里创建内核级的 UDP,方便驱动能及时的给我的程序发送数据, 之前用的是 共享事件,但是会有延迟,不是很稳定,用这个就好多了 当然也支持TCP的客户端和服务端,能在内核里创建个服务器来用,虽然有源码,但是代码太多,还没看懂了 现在的系统都开启的强制签名验证,没签名的驱动都无法加载,还好前几天经过高人的指教把这个问题解决了 现在只要把代码的兼容性做好,就能在很多系统里使用了 昨天测试了几种系统,都可以正常的运行,哈哈。 虽然我搞驱动才几天,但是C源码比较多,学起来还是挺方便,大家遇到难题,可以去找找C源码看看。 最后再说下易语言,很长时间才更新一次,还是小修小补的,大家需要的,核心的基本没动过,真的脱节的太多了,什么时候能发发善心来波大的。
软件加密技术内幕
03-19
chm格式,目录如下。 第1章 PE文件格式深入研究 1.1 PE文件格式格式纵览 1.1.1 区块(Section) 1.1.2 相对虚拟地址(Relative Virtual Addresses) 1.1.3 数据目录 1.1.4 输入函数(Importing Functions) 1.2 PE文件结构 1.2.1 The MS-DOS头部 1.2.2 IMAGE_NT_HEADERS头部 1.2.3 区块表(The Section Table) 1.2.4 各种块(Sections)的描述 1.2.5 输出表 1.2.6 输出转向(Export Forwarding) 1.2.7 输入表 1.2.8 绑定输入(Bound import) 1.2.9 延迟装入数据(Delayload Data) 1.2.10 资源 1.2.11 基址重定位(Base Relocations) 1.2.12 调试目录(DebugDirectory) 1.2.13 NET头部 1.2.14 TLS初始化 1.2.15 程序异常数据 第2章 PE分析工具编写 2.1 文件格式检查 2.2 FileHeader和OptionalHeader内容的读取 2.3 得到数据目录(Data Dircetory)信息 2.4 得到块表(SectionTable)信息 2.5 得到输出表(ExportTable)信息 2.6 得到输入表(ImportTable)信息 第3章 Win32 调试API 3.1 Win32调试API原理 3.1.1 调试相关函数简要说明 3.1.2 调试事件 3.1.3 如何在调试时创建并跟踪一个进程 3.1.4 最主要的循环体 3.1.5 如何处理调试事件 3.1.6 线程环境详解 3.1.7 如何在另一个进程中注入代码 3.2 利用调试API编写脱壳机 3.2.1 tElock 0.98脱壳简介 3.2.2 脱壳机的编写 3.3 利用调试API制作内存补丁 3.3.1 跨进程内存存取机制 3.3.2 Debug API机制 第4章 Windows下的异常处理 4.1 基本概念 4.1.1 Windows下的软件异常 4.1.2 未公开的可靠吗 4.2 结构化异常处理(SEH) 4.2.1 异常处理的基本过程 4.2.2 SEH的分类 4.2.3 相关API 4.2.4 SEH相关数据结构 4.3 异常处理程序设计 4.3.1 顶(top-level)异常处理 4.3.2 线程异常处理 4.3.3 异常处理的堆栈展开(Stack unwind) 4.3.4 异常处理程序设计中的几个注意事项: 4.4 SEH的简单应用 4.4.1 Win9x下利用SEH进ring0 4.4.2 利用SEH实现对自身的单步自跟踪 4.4.3 其它应用 4.5 系统背后的秘密 4.6 VC是如何封装系统提供的SEH机制的 4.6.1 扩展的EXCEPTION_REGISTRATION级相关结构 4.6.2 数据结构组织 4.7 Windows XP下的向量化异常处理(VEH) 第5章 软件加密技术 5.1 反调试技术(Anti-Debug) 5.1.1 句柄检测 5.1.2 SoftICE后门指令 5.1.3 int68子类型 5.1.4 ICECream子类型 5.1.5 判断NTICE服务是否运行 5.1.6 INT 1 检测 5.1.7 利用UnhandledExceptionFilter检测 5.1.8 INT 41子类型 5.2 反跟踪技术(Anti-Trace) 5.2.1 断点检测 5.2.2 利用SEH反跟踪 5.2.3 SMC技术实现 5.3 反加载技术(Anti-Loader) 5.3.1 利用TEB检测 5.3.2 利用IsDebuggerPresent函数检测 5.3.3 检查父进程 5.4 反DUMP技术(Anti-Dump) 5.5 文件完整性检验 5.5.1 CRC校验实现 5.5.2 校验和(Checksum) 5.5.3 内存映像校验 5.6 反监视技术(Anti-Monitor) 5.6.1 窗口方法检测 5.6.2 句柄检测 5.7 反静态分析技术 5.7.1 扰乱汇编代码 5.7.2 花指令 5.7.3 信息隐藏 5.8 代码与数据结合技术 5.9 软件保护的若干忠告 第6章 加壳软件编写 6.1 外壳编写基础 6.1.1 判断文件是否是PE格式的EXE文件 6.1.2 文件基本数据的读入 6.1.3 额外数据保留 6.1.4 重定位数据的去除 6.1.5 文件的压缩 6.1.6 资源区块的处理 6.1.7 区块的融合 6.1.8 输入表的处理 6.1.9 外壳部分的编写 6.1.10 将外壳部分添加至原程序 6.1.10 小结 6.2 加壳程序综合运用的实例 6.2.1 程序简介 6.2.2 加壳子程序(WJQ_ShellBegin()) 6.2.3 PE外壳程序 6.2.4 加进Anti技术 6.2.5 通过外壳修改被加壳PE 6.2.6 VC++调用汇编子程序 第7章 如何让壳与程序融为一体 7.1 序 7.1.1 为何需要壳和程序一体化 7.1.2 为阅读此章节需要的知识 7.1.3 基于此章节用的的例子程序说明 7.2 欺骗检查壳的工具 7.2.1 fi是如何检查壳的 7.2.2 欺骗fi 7.3 判断自己是否给脱壳了 7.3.1 判断文件尺寸 7.3.2 检查标记 7.3.3 外部检测(使用dll) 7.3.4 hook 相关的api(防止loader和调试api) 7.4 使用sdk把程序和壳溶为一体 7.4.1 sdk的意义 7.4.2 做一个带sdk的壳 7.5 后记:关于壳和程序的思考 第8章 Visual Basic 6 逆向工程 8.1 简介 8.2 P-code传奇 8.3 VB编译奥秘 8.4 VB与COM 8.5 VB可执行程序结构研究 8.6 VB程序事件解读 8.7 VB程序图形界面(GUI)解读 8.8 VB程序执行代码研究 8.9 我们的工具 8.10 VB程序保护篇 附录A 在Visual C++中使用内联汇编 附录B 在Visual Basic中使用汇编
WIN64驱动编程基础教程
12-06
详细目录如下: 0.基础的基础 |-学习WIN64驱动开发的硬件准备 |-配置驱动开发环境 ------------------------------ 1.驱动级HelloWorld |-配置驱动测试环境 |-编译和加载内核HelloWorld ------------------------------ 2.内核编程基础 |-WIN64内核编程的基本规则 |-驱动程序与应用程序通信 |-内核里使用内存 |-内核里操作字符串 |-内核里操作文件 |-内核里操作注册表 |-内核里操作进线程 |-驱动里的其它常用代码 ------------------------------ 3.内核HOOK与UNHOOK |-系统调用、WOW64与兼容模式 |-编程实现突破WIN7的PatchGuard |-系统服务描述表结构详解 |-SSDT HOOK和UNHOOK |-SHADOW SSDT HOOK和UNHOOK |-INLINE HOOK和UNHOOK ------------------------------ 4.无HOOK监控技术 |-无HOOK监控进线程启动和退出 |-无HOOK监控模块加载 |-无HOOK监控注册表操作 |-无HOOK监控文件操作 |-无HOOK监控进线程句柄操作 |-使用对象回调监视文件访问 |-无HOOK监控网络访问 |-无HOOK监视修改时间 ------------------------------ 5.零散内容 |-驱动里实现内嵌汇编 |-DKOM隐藏进程+保护进程 |-枚举和隐藏内核模块 |-强制结束进程 |-强制读写进程内存 |-枚举消息钩子 |-强制解锁文件 |-初步探索PE32+格式文件 ------------------------------ 6.用户态HOOK与UNHOOK |-RING3注射DLL到系统进程 |-RING3的INLINE HOOK和UNHOOK |-RING3的EAT HOOK和IAT HOOK ------------------------------ 7.反回调 |-枚举与删除创建进线程回调 |-枚举与删除加载映像回调 |-枚举与删除注册表回调 |-枚举与对抗MiniFilter |-枚举与删除对象回调
驱动开发教程
05-07
0.基础的基础 |-学习WIN64驱动开发的硬件准备 |-配置驱动开发环境 ------------------------------ 1.驱动级HelloWorld |-配置驱动测试环境 |-编译和加载内核HelloWorld ------------------------------ 2.内核编程基础 |-WIN64内核编程的基本规则 |-驱动程序与应用程序通信 |-内核里使用内存 |-内核里操作字符串 |-内核里操作文件 |-内核里操作注册表 |-内核里操作进线程 |-驱动里的其它常用代码 ------------------------------ 3.内核HOOK与UNHOOK |-系统调用、WOW64与兼容模式 |-编程实现突破WIN7的PatchGuard |-系统服务描述表结构详解 |-SSDT HOOK和UNHOOK |-SHADOW SSDT HOOK和UNHOOK |-INLINE HOOK和UNHOOK ------------------------------ 4.无HOOK监控技术 |-无HOOK监控进线程启动和退出 |-无HOOK监控模块加载 |-无HOOK监控注册表操作 |-无HOOK监控文件操作 |-无HOOK监控进线程句柄操作 |-使用对象回调监视文件访问 |-无HOOK监控网络访问 |-无HOOK监视修改时间 ------------------------------ 5.零散内容 |-驱动里实现内嵌汇编 |-DKOM隐藏进程+保护进程 |-枚举和隐藏内核模块 |-强制结束进程 |-强制读写进程内存 |-枚举消息钩子 |-强制解锁文件 |-初步探索PE32+格式文件 ------------------------------ 6.用户态HOOK与UNHOOK |-RING3注射DLL到系统进程 |-RING3的INLINE HOOK和UNHOOK |-RING3的EAT HOOK和IAT HOOK ------------------------------ 7.反回调 |-枚举与删除创建进线程回调 |-枚举与删除加载映像回调 |-枚举与删除注册表回调 |-枚举与对抗MiniFilter |-枚举与删除对象回调
Windows 10 x64 Ring0 遍历进程
zcy5157912的博客
03-25 220
原理:进程PID都为4的整数倍
[原创]通过PsSetCreateProcessNotifyRoutineEx和PsSetCreateThreadNotifyRoutine实现进程线程监控
追逐光芒,追随内心
12-10 1716
PsSetCreateProcessNotifyRoutineEx是Windows提供得一个可以通过设置回调函数实现进程监控的内核API。其在文档的定义如下: 1 2 3 4 5 NTSTATUS PsSetCreateProcessNotifyRoutineEx( INPCREATE_PROCESS_NOTIFY_ROUTINE_EXNotifyRoutine, INBOOLEAN...
内核 进程监控 线程监控
qq_41071646的博客
01-16 329
唉  最近学习感觉有点学不懂了 有点头蒙  都有点想放弃了 最后还是坚持一下吧 看内核看不懂了 就去pwn     昨天确实有点瞎想了  有些东西未来再说 现在 为时太早  然后 今天 搞得是  内核进程监控  然后还是根据看雪分享的教程 写的 作者是 Tesla.Angela 然后  这里 并非是 HOOKSSDT 而是 用的   VOID CreateProcessNotifyEx...
进程创建通知回调通知例程的学习笔记
lixiangminghate的专栏
08-31 2246
转自:小刀志 在 Windows 操作系统中可以通过 PsSetCreateProcessNotifyRoutine 函数注册或移除一个进程创建通知回调例程。在 Vista 以及之后的版本中,微软加入 PsSetCreateProcessNotifyRoutineEx 新的函数来注册创建进程通知。通过判断系统版本来对应不同的操作系统调用不同的注册函数。 而在 Vista 之前的系统
ring0驱动内核级注册表监控程序.zip
01-27
ring0驱动内核级注册表监控程序.zip
监视并控制进程的创建
商少
07-31 1045
我们都知道,进程的创建会涉及比较多的行为,从开始的创建进程空间,创建句柄表等内核功能,之后映射可执行文件、主线程的运行,如果我们可以在其中的一个位置做手脚,进程的创建应该就会失败。这里我们使用的是系统回调函数的方法。 基本函数。 // 可以通知我们进程的创建 NTSTATUS PsSetCreateProcessNotifyRoutine( IN PCREATE_PROC
Ring3与Ring0的通信
tatorey的博客
04-10 1296
浅谈三环与零环的通信机制,深入了解驱动底的通信原理
Ring0发送IRP消息打开文件不释放对象实现文件防删
毕业作品网站
03-09 348
背景 文件保护技术不论对于病毒木马还是杀软来说,都是至关重要的。要在内核实现文件防删除,通常是通过HOOK内核函数来实现,通过判断是否是删除保护文件,从而拒绝操作。本文将介绍一种不需要HOOK操作即可实现的文件保护方法,通过发送IRP信息打开文件并获取文件句柄,而不关闭文件句柄,使文件句柄一直保持打开状态。在文件句柄没有被关闭释放的情况,文件不能被删除,从而实现文件防删除。 实现过程 在前面章节就已经介绍过发送IRP管理操作文件,直接发送 IRP 对文件进行操作,可以避免一些HOOK的干扰。 在发送 I
64位下使用回调函数实现监控
hongduilanjun的博客
11-01 1510
在32位的系统下,我们想要实现某些监控十分简单,只需要找到对应的API实现挂钩操作即可检测进程。但在64位系统下随着的引入,导致我们如果继续使用挂钩API的方式进行监控会出现不可控的情况发生。微软也考虑到了用户程序的开发,所以开放了方便用户调用的系统回调API函数,在64位系统下的监控,使用系统回调相对于直接hook的方式往往是更值得青睐的一方。
ring0启动一个Win32进程 【译文】
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-23 599
ring0启动一个Win32进程 【译文】 文章原址:http://www.codeproject.com/useritems/KernelExec.asp Download source files - 55 Kb  Download demo project - 27 Kb  介绍 在许多不成功的尝试来试图找到一种方式来以核心模式(KernelMode)来启动可运行的Wi
基于Ring0的监控程序实现
weixin_30419799的博客
09-06 185
写这类的程序关键是封了进入ring0的方法 守住ring0这块高地 其它的什么都不怕.......通过ssdt hook实现进程创建,注册表修改和内核模块加载的监控...创建进程:hook 了ZwCreateProcess 其实很多方法不用调用ZwCreateProcess而创建进程, 更好的办法是再hook NtCreateSection具体参考codeproject上的文章Ho...
ring3隐藏进程
最新发布
08-09
Ring3隐藏进程是指在计算机的操作系统中,利用一些特殊的技术手段或者恶意软件来隐藏自身的进程,使其在操作系统面上不被察觉或无法被发现。 首先,Ring3是指计算机操作系统的用户态环境。在这个级中,进程...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

吾无法无天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值