驱动开发,进程创建及 销毁的监视

最新推荐文章于 2024-03-22 10:30:00 发布
最新推荐文章于 2024-03-22 10:30:00 发布
阅读量299 收藏
点赞数
文章标签: NT驱动开发
原文链接:https://blog.csdn.net/hjxyshell/article/details/17743873
版权 
The PsSetCreateProcessNotifyRoutine routine adds a driver-supplied callback routine to, or removes it from, a list of routines to be called whenever a process is created or deleted.
NTSTATUS
 PsSetCreateProcessNotifyRoutine(
   IN PCREATE_PROCESS_NOTIFY_ROUTINE  NotifyRoutine,
   IN BOOLEAN  Remove
   );

#include <ntddk.h>
 



//进程监视回调函数
VOID ProcessMonitorCallback(
						IN HANDLE hParentId,
						IN HANDLE hProcessId, 
						IN BOOLEAN bCreate)
{
	NTSTATUS status;
	HANDLE procHandle = NULL;
	CLIENT_ID ClientId;
	
	OBJECT_ATTRIBUTES Obja;
	Obja.Length = sizeof(Obja);
	Obja.RootDirectory = 0;
	Obja.ObjectName = 0;
	Obja.Attributes = 0;
	Obja.SecurityDescriptor = 0;
	Obja.SecurityQualityOfService = 0;
	
	ClientId.UniqueProcess = (HANDLE)hProcessId;
	ClientId.UniqueThread = 0;
	//不管创建什么程序都关闭程序
 if(bCreate)   //bCreate 为True表示创建程序
 {
 //调用函数ZwOpenProcess函数,通过进程pid号获得进程句柄
	
	status = ZwOpenProcess(&procHandle, PROCESS_ALL_ACCESS, &Obja, &ClientId);
	if(status == STATUS_INVALID_PARAMETER_MIX)
	 DbgPrint("STATUS_INVALID_PARAMETER_MIX\n");
	else if(status == STATUS_INVALID_CID)
	 DbgPrint("STATUS_INVALID_CID\n");
	else if(status == STATUS_INVALID_PARAMETER)
	 DbgPrint("STATUS_INVALID_PARAMETER\n");
	else if(status == STATUS_ACCESS_DENIED)
	 DbgPrint("STATUS_ACCESS_DENIED\n");
	else 
		DbgPrint("STATUS_SUCCESS\n");
		
	if(procHandle != NULL)
		status = ZwTerminateProcess(procHandle,1);
	else
	{
		DbgPrint("failed to ZwOpenProcess...\n");
		return ;
	}
	//这里是我来判断没有成功结束进程用的
	switch(status)
	{
	 case STATUS_SUCCESS:
		DbgPrint("process %u has beed killed ...\n",hProcessId);
		break;
	 case STATUS_OBJECT_TYPE_MISMATCH:
		DbgPrint("failed to kill %u process,The specified handle is not a process handle. \n",hProcessId);
		break;
	 case STATUS_INVALID_HANDLE:
		DbgPrint("failed to kill %u process,The specified handle is not valid.\n",hProcessId);
		break;
	 case STATUS_ACCESS_DENIED:
		DbgPrint("failed to kill %u process,The driver cannot access the specified process object.\n",hProcessId);
		break;
	 case STATUS_PROCESS_IS_TERMINATING:
		DbgPrint("failed to kill %u process,The specified process is already terminating.\n",hProcessId);
		break;
	 default:
		break;
	}
	
		
	
 }
}
//驱动卸载函数
void DriverUnload(PDRIVER_OBJECT pDriveObj)
{
//取消监视
	PsSetCreateProcessNotifyRoutine(ProcessMonitorCallback,TRUE);
	DbgPrint("driver unloaded ...\n");
}
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObj, PUNICODE_STRING pRegisterString)
{
	NTSTATUS status = STATUS_SUCCESS;
	//驱动卸载处理
    //如果不进行控制输入,无需创建驱动软链接
	pDriverObj->DriverUnload = DriverUnload;
	status = PsSetCreateProcessNotifyRoutine(ProcessMonitorCallback,FALSE);
	return status;
}

 

xmmdbk
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
扩展内核函数 PsSetCreateProcessNotifyRoutine 等的蹲坑数量
12-01
扩展内核函数 PsSetCreateProcessNotifyRoutine 等的蹲坑数量
PsSetCreateProcessNotifyRoutine监控进程创建
Sven的忘却日记
09-25 5387
PsSetCreateProcessNotifyRoutine函数用来注册一个进程创建的回调函数,当有新从进程创建时,就把父进程的ID,和子进程(被创建进程)ID传给回调函数,通过回调函数,可以监控新创建进程 NTSTATUS PsSetCreateProcessNotifyRoutine( _In_ PCREATE_PROCESS_NOTIFY_ROUTINE NotifyRouti...
[原创]通过PsSetCreateProcessNotifyRoutineEx和PsSetCreateThreadNotifyRoutine实现进程与线程监控
追逐光芒,追随内心
12-10 1803
PsSetCreateProcessNotifyRoutineEx是Windows提供得一个可以通过设置回调函数实现进程监控的内核API。其在文档的定义如下: 1 2 3 4 5 NTSTATUS PsSetCreateProcessNotifyRoutineEx( INPCREATE_PROCESS_NOTIFY_ROUTINE_EXNotifyRoutine, INBOOLEAN...
驱动监控进程创建
06-03 1925
作 者: hljleo时 间: 2008-05-31,12:32链 接: http://bbs.pediy.com/showthread.php?t=65772这是我在http://www.codeproject.com .学习时看到的一个驱动程序,学习后对其整理的笔记下面这个驱动程序的作用:监控准备运行的可执行文件。(由用户决定是不是让它运行)所以我们要做以下工作:首先是修改(NtCreateS
PsSetCreateProcessNotifyRoutine妙用
yushiqiang1688的专栏
01-18 1万+
最近要做一个进程监控的程序,功能很简单,就是创建和退出进程的时候,能触发我们的事件。首先的第一想法,是Hook ZwCreateProcess,结果调试的时候发现,很多创建进程的动作,并没有通过这个API执行,所以自然就是没办法监控进程创建,于是回到本质,从创建进程的动作过程来分析,创建新的进程,其大致要经历以下步骤:(1)打开可执行文件,以FILE_EXECUTE权限打开;(2)将
编写进程/线程监视
11-03
为了深入了解系统的运行状态,尤其是监控特定进程或线程的创建销毁以及加载模块等行为,开发一个进程/线程监视器显得尤为重要。本文将基于给定的部分内容,详细介绍如何利用Windows内核API实现进程和线程的监视...
VB使用HOOK.dll禁止程序创建进程
05-15
在IT领域,VB(Visual Basic)是一种常用的编程语言,它基于事件驱动,广泛应用于桌面应用开发。本主题聚焦于如何利用HOOK.dll技术在VB中阻止其他程序创建进程,这是一个涉及系统级监控和干预的高级话题。 首先,...
驱动开发工具 DebugView DriverMonitor IRPTrace WinObj IceSword.exe
04-27
驱动开发中,理解这些内核对象的创建、使用和销毁情况对调试驱动程序的内存管理和同步问题非常有帮助。 5. **IceSword.exe**:这是一款由著名黑客团体“冰刃”开发的系统监控工具,主要用于检测和分析系统的底层...
Windows2000设备驱动程序的研制开发
12-11
对象管理器(ObXxx)负责对象的创建销毁和命名,配置管理器管理硬件配置,进程管理器(PsXxx)处理进程调度,安全监视器(SeXxx)确保系统安全,虚拟空间管理器(MemXxx)处理内存分配,本地进程调用处理跨进程...
驱动开发:内核监控进程与线程创建
CSDN
10-14 9115
监控进程的启动与退出可以使用 `PsSetCreateProcessNotifyRoutineEx` 来创建回调,当新进程产生时,回调函数会被率先执行,然后执行我们自己的`MyCreateProcessNotifyEx`函数,并在内部进行打印输出。而检测线程操作与检测进程差不多,检测线程需要调用`PsSetCreateThreadNotifyRoutine` 创建回调函数,然后就可以检测线程的创建了。
【软件测试】测试驱动开发与行为驱动开发
付费专栏已不再维护,请勿购买
03-24 631
本文讨论测试驱动开发与行为驱动开发
驱动开发:监控进程与线程对象操作
热门推荐
CSDN
06-14 1万+
监控进程对象和线程对象操作,可以使用ObRegisterCallbacks这个内核回调函数,通过回调我们可以实现保护calc.exe进程不被关闭,具体操作从OperationInformation->Object获得进程或线程的对象,然后再回调中判断是否是计算器,如果是就直接去掉TERMINATE_PROCESS或TERMINATE_THREAD权限即可。 监控进程对象 附上进程监控回调的...
64位下使用回调函数实现监控(上)
最新发布
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
03-22 608
在32位的系统下,我们想要实现某些监控十分简单,只需要找到对应的API实现挂钩操作即可检测进程。但在64位系统下随着的引入,导致我们如果继续使用挂钩API的方式进行监控会出现不可控的情况发生。微软也考虑到了用户程序的开发,所以开放了方便用户调用的系统回调API函数,在64位系统下的监控,使用系统回调相对于直接hook的方式往往是更值得青睐的一方。
linux驱动创建进程,编写Linux驱动八步骤
weixin_42434656的博客
04-29 338
一、建立Linux驱动框架(装载、卸载Linux驱动)Linux内核在使用驱动时首先要装载驱动,在装载过程中进行一些初始化动作(建立设备文件、分配内存等),在驱动程序中需提供相应函数来处理驱动初始化工作,该函数须使用module_init宏指定;Linux系统在退出是需卸载Linux驱动,卸载过程中进行一些退出工作(删除设备文件、释放内存等),在驱动程序中需提供相应函数来处理退出工作,该函数须使用...
linux驱动创建进程,手把手教你创建Linux设备驱动和应用程序
weixin_42298352的博客
04-29 386
通过前面两篇文章我们不仅创建的自定义IP模块还移植了Linux操作系统,今天这篇文章的内容是将这两部分联系起来,其实我们创建的myLed IP相对于Linux操作系统可以是它的一个底层设备,因为PS总线为myLed IP分配了寻址地址,这样我们就可以创建myLed IP模块的硬件驱动,然后搭建应用程序,实现软硬件协同设计。当然开始之前还需要大家了解一下Linux驱动的基础知识,以及Makefile...
32位/64位WINDOWS驱动进程保护
a756598009的博客
06-19 1553
加载驱动代码里面加入破解驱动签名限制代码在创建驱动设备后面,在调用一下安装内存保护();//函数在到驱动卸载里面调用一下卸载内存保护();//函数开发环境设置方式是:右击项目,选择属性;选中配置属性中的链接器,点击命令行;在其它选项中输入: /INTEGRITYCHECK 表示设置;/INTEGRITYCHECK:NO 表示不设置。对于使用sources文件编译的方式,增加LINKER_FLAGS=/INTEGRITYCHECK。
linux驱动创建进程,Linux 驱动程序开发步骤与过程(ARM平台) -- 之二
weixin_31008279的博客
04-29 336
X86平台下编译,操作,运行:Linux驱动程序:一> 1.建立一个firstqd目录,在此目录建立驱动设备源文件(.C文件)firstqd.c ,2.在同一目录下建立Makefile文件3.同一目录建立驱动设备测试源文件(.C 文件)test.c4.以上三文件建立并编写完毕后.在该目录下用make 命令进行编译,如果没有错误就会生成.ko文件以及一些中间文件.二>在/proc/dev...
驱动-进程
chengtoreal的博客
03-12 195
进程结构体EPROCESS一个进程一个 EPROCESS的第一个成员KPROCESS 0xa0、0xa8 CREATETIME、EXITTIME 创建时间、退出时间 0x0b4 UniqueProcessId 当前进程PID 0x0b8 ActiveProcessLinks 所有的活动进程的双向链表 0x0ec DebugPort 0x0f0 ExceptionPort 调试信息 DebugPort清0后无法调试 0x0f4 ObjectTable 句柄表 0x16c ImageFileName
驱动层PsSetCreateProcessNotifyRoutine监视进程 ,返回应用层
ShadowAssassin的专栏
01-04 3216
源程序大致过程如下: 1、驱动程序调用函数PsSetCreateProcessNotifyRoutine  设置监视进程的回调函数ProcessMonitorCallback  ,当应用层有进程创建时,驱动程序调用回调函 数ProcessMonitorCallback获得新建或者结束的进程信息,将信息存放到扩展结构中,以便通过method_buffer方式传回应用层。 2、当
Windows内核模式驱动架构设计指南详解
写作WDMDrivers章节则是实践指南,详细解释了如何利用WDM编写驱动程序,包括创建、初始化和销毁设备对象,以及如何处理内存分配、I/O操作和事件管理。此外,还提到了如何使用Windows提供的各种运行时库,如安全字符...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值