Windows内核进程创建和模块加载通知的先后顺序

最新推荐文章于 2023-06-19 11:10:30 发布
最新推荐文章于 2023-06-19 11:10:30 发布
阅读量873 收藏 1
点赞数
分类专栏: Windows驱动学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiejianjun417/article/details/81917021
版权

Windows内核进程创建和退出通知主要通过调用PsSetCreateProcessNotifyRoutine或者PsSetCreateProcessNotifyRoutineEx来注册事件通知函数,在进程创建和退出时,系统会调用注册的事件通知函数;可执行模块加载通知调用PsSetLoadImageNotifyRoutine或PsSetLoadImageNotifyRoutineEx来注册事件通知函数,在可执行模块(包括dll、sys、exe)加载时,系统会调用注册的事件通知函数。

那么当父进程创建子进程时,进程创建和模块加载事件的通知先后顺序是怎么样的?见下图

测试程序tt.exe中,根据给定程序路径调用CreateProcess来创建子进程。dbgview窗口的输出信息是,我们在内核驱动监听进程创建和可执行模块加载的回调函数中打印输出相关信息。

根据图中信息,当我们在命令行中执行"tt.exe c:\Windows\system32\notepad.exe"时,命令行cmd.exe所在的进程(ID=0x5c0)创建了tt.exe子进程(ID=0x148),然后tt.exe子进程(ID=0x148)通知加载可执行模块(\Device\HarddiskVolume2\Users\Adminstrator\Desktop\wafs\tt.exe),然后tt.exe子进程(ID=0x148)通知创建notepad.exe子进程(ID=0x8d4),接着notepad.exe子进程(ID=0x8d4)通知加载可执行模块(\Device\HarddiskVolume2\Windows\System32\notepad.exe)。

可以看出进程创建和模块加载事件的通知先后顺序是:父进程先通知子进程创建,然后是子进程通知可执行模块加载。

叶之香
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows CE 6.0嵌入式高级编程(中文版)
09-13
1.5.1 模块化和简洁的操作系统 1.5.2 实时操作系统 1.5.3 硬件支持 1.5.4 CE 6.0 R2的新特性 1.5.5 定制的UI 1.5.6 有线和无线连接 1.5.7 图形和多媒体 1.5.8 多语言的国际化定位 1.5.9 实时通信和VolP 1.5.10 OS...
Windows编程循序渐进.part2
04-12
12.1.3 实例:创建进程 226 12.2 线程 227 12.2.1 原理介绍 227 12.2.2 创建线程 229 12.2.3 实例:创建线程 229 12.3 枚举进程/线程信息 231 12.3.1 实例:使用PSAPI示例 231 12.3.2 实例:使用ToolHelpAPI...
windows创建进程的用户态和内核态交互----小话windows(1)
编程语言技巧经验分享
06-19 8588
作者:陈曦 日期:2012-6-19 12:28:30 环境:[win7旗舰版 SP1  ; Intel i3  x86, 支持64位  ;vs2010  ; wrk-v1.2  ; Virtual PC 2007   windows 2003 server sp1 standard edition镜像 ;WinDbg 6.11.0001.404(x86) ]  转载请注明出处
基于visual c++之windows核心编程代码分析(19)枚举进程以及进程加载模块信息
flyingleo1981的专栏
12-08 1190
我们进行Windows安全编程的时候,经常需要检测进程,我们来实践一下枚举进程进程加载模块。请见代码实现与注释分析。     [cpp] view plain copy /* 头文件 */   #include    #include    #include    #include    /* 预处理声明 */   #pragm
[原创]通过PsSetCreateProcessNotifyRoutineEx和PsSetCreateThreadNotifyRoutine实现进程与线程监控
追逐光芒,追随内心
12-10 1703
PsSetCreateProcessNotifyRoutineEx是Windows提供得一个可以通过设置回调函数实现进程监控的内核API。其在文档的定义如下: 1 2 3 4 5 NTSTATUS PsSetCreateProcessNotifyRoutineEx( INPCREATE_PROCESS_NOTIFY_ROUTINE_EXNotifyRoutine, INBOOLEAN...
Windows动态沙箱实现--进程回调监控
最新发布
wangmin1944的专栏
06-19 255
下面是我们的回调代码实现,核心功能是获取当前创建进程PID、全路径、命令行、父进程PID、父进程全路径信息。需要注意的是,这里获取的父进程信息有可能是假的,最常见的就是启动服务、shellcode注入启动或者借助UpdateProcThreadAttribute伪造父进程启动。这类的伪装,我们需要在后续的InfinityHook里实现发现并进行关联标注。前面讨论了沙箱的目标,今天开始落实代码实现,从功能实现的先后顺序上,我们优先实现4个回调:进程回调、镜像回调、线程回调、注册表回调,今天实现进程回调。
PsSetCreateProcessNotifyRoutineEx进程监控框架
Cosmopolitan的博客
10-08 1650
vs设置:“项目-属性-链接器-命令行”位置添加 /INTEGRITYCHECK 即可,不然注册回调的时候会失败 参考:https://xiaodaozhi.com/kernel/18.html #include <ntddk.h> typedef NTSTATUS (*PPsSetCreateProcessNotifyRoutineEx)( _In_ PCREATE_PROCESS...
Windows编程循序渐进.part3
04-12
12.1.3 实例:创建进程 226 12.2 线程 227 12.2.1 原理介绍 227 12.2.2 创建线程 229 12.2.3 实例:创建线程 229 12.3 枚举进程/线程信息 231 12.3.1 实例:使用PSAPI示例 231 12.3.2 实例:使用ToolHelpAPI...
Windows Sysinternals Suite v2019.06.29.zip
07-14
为了确保创建安全的环境,Windows 管理员通常需要了解特定用户或用户组对文件、目录、注册表项和 Windows 服务等资源具有哪种访问权限。AccessChk 能够通过直观的界面和输出快速回答这些问题。 AccessEnum 这一...
XueTr0.27 (比冰刃IceSword还强的软件)
07-06
内核模块加入“加载顺序”显示 5.增强SSDT、Shadow SSDT、FSD、IDT、ObjectType Hook函数所在模块的查找能力 6.加入一个查看重启删除功能(文件部分树形空间右键菜单) 7.文件部分加入是否常规属性显示,新增...
内核模块加载顺序的控制
11-15
描述了编译入内核模块加载顺序的原理和控制模块加载顺序的方法。
扩展内核函数 PsSetCreateProcessNotifyRoutine 等的蹲坑数量
12-01
扩展内核函数 PsSetCreateProcessNotifyRoutine 等的蹲坑数量
linux内核模块加载顺序
03-20
你是否曾经疑问过我们编写的内核模块是什么时候,如何加载内核的,本文将为你揭开迷惑。
PsSetCreateProcessNotifyRoutineEx 防多开
sanqiuai的博客
09-06 951
这个函数的功能是设置一个回调钩子,该钩子会在进程创建进程销毁时被调用,钩子由用户提供 API格式 NTSTATUS PsSetCreateProcessNotifyRoutineEx( PCREATE_PROCESS_NOTIFY_ROUTINE_EX NotifyRoutine, BOOLEAN Remove ); NotifyRoutine 是IN,传入用户指定的回调钩子 Remove 是IN ,创建回调钩子时传FALSE,创建了肯定需要在
PsSetCreateProcessNotifyRoutine监控进程创建
Sven的忘却日记
09-25 5237
PsSetCreateProcessNotifyRoutine函数用来注册一个进程创建的回调函数,当有新从进程创建时,就把父进程的ID,和子进程(被创建进程)ID传给回调函数,通过回调函数,可以监控新创建进程 NTSTATUS PsSetCreateProcessNotifyRoutine( _In_ PCREATE_PROCESS_NOTIFY_ROUTINE NotifyRouti...
内核模块加载
ashimida
04-27 4773
概述 一般linux中有两个程序可以添加内核模块,modprobe和insmod,前者考虑到了各个模块之间可能出现的依赖关系,被依赖的模块会被自动载入,而insmod只是简单的尝试载入当前的模块。二者最终都是通过linux系统调用sys_init_module载入内核模块的。 编译好的内核模块一般是以*.ko结尾的,这类文件都是可重定位文件。 elf的基本结构如图: sys_init_module/
Windows驱动调用PsSetCreateProcessNotifyRoutineEx失败
youyudexiaowangzi的专栏
02-21 942
Windows驱动调用PsSetCreateProcessNotifyRoutineEx失败,添加/integritycheck编译选项
内核模块加载过程分析
zj82448191的博客
09-10 1360
前言:想要了解内核模块加载过程,需要先了解ELF文件格式,我的ELF文件格式解析文章地址如下: ELF文件格式解析https://blog.csdn.net/zj82448191/article/details/108441447 在用户空间,用insmod这样的命令来向内核空间安装一个内核模块,本章将详细讨论模块加载时的内核行为,当我们加载一个模块时,insmod会首先利用文件系统的接口将其数据读取到用户空间的一段内存中,然后通过系统调用sys_init_module,让内核去处理加载的整个过程。 一、
内核模块加载顺序详解
EDman_linux的专栏
12-06 3226
Linux内核为不同驱动的加载顺序对应不同的优先级,定义了一些宏: include\linux\init.h #define pure_initcall(fn)   __define_initcall("0",fn,1) #define core_initcall(fn)   __define_initcall("1",fn,1) #define core_initcall_s
用户进程内核进程打印内核模块信息
05-25
在 Linux 操作系统中,用户进程是指直接由用户程序所创建进程,而内核进程是指由内核启动并运行的进程。要打印内核模块信息,可以使用 printk 函数,在内核模块的代码中实现打印功能。 下面是一个简单的内核模块...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值