Windows驱动调用PsSetCreateProcessNotifyRoutineEx失败

已于 2022-05-07 17:24:19 修改
阅读量938 收藏
点赞数 2
分类专栏: Windows驱动 文章标签: windows
于 2022-02-21 09:51:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youyudexiaowangzi/article/details/123040626
版权

参考

driver - Process monitoring CreateProcessNotifyRoutineEx - Stack Overflow

PE format

PE Format - Win32 apps | Microsoft Docs​​​​​​

DLL Characteristics字段介绍

PE Format - Win32 apps | Microsoft DocsThis specification describes the structure of executable (image) files and object files under the Windows family of operating systems. These files are referred to as Portable Executable (PE) and Common Object File Format (COFF) files, respectively.icon-default.png?t=M3K6https://docs.microsoft.com/en-us/windows/win32/debug/pe-format#dll-characteristics

根据windows官方文档说明

PsSetCreateProcessNotifyRoutineEx function (ntddk.h) - Windows drivers | Microsoft Docsr​​​​​​​r

如果返回值是STATUS_ACCESS_DENIED,也就是0xC0000022

则错误原因是

The image that contains the callback routine pointer did not have IMAGE_DLLCHARACTERISTICS_FORCE_INTEGRITY set in its image header.

百度后得知,PE文件中的这个标志可以通过编译程序的时候指定/integritycheck linker flag,

也就是Visual Studio的属性页->配置属性->链接器->命令行->附加选项中添加/integritycheck,可是编译驱动的时候,不是使用的Visual Studio的编译工具,而是使用wdk的编译工具。配置属性中的修改对驱动的编译不会产生丝毫影响,而且工程属性中根本就没有这个选项。

参考stack overflow中的答案,只需要驱动项目的sources文件中添加LINKER_FLAGS即可,如下:

LINKER_FLAGS=/integritycheck

sources中添加flag之后,用CFF explorer查看属性

 从pe结构中查看该字段,

IMAGE_DLLCHARACTERISTICS_FORCE_INTEGRITY

0x0080

说明该配置已生效

其实一开始不知道这个配置的时候,使用PsSetCreateProcessNotifyRoutine也能达到效果,只不过代码会复杂一些。

youyudexiaowangzi
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
扩展内核函数 PsSetCreateProcessNotifyRoutine 等的蹲坑数量
12-01
扩展内核函数 PsSetCreateProcessNotifyRoutine 等的蹲坑数量
进程监控驱动 PsSetCreateProcessNotifyRoutine
09-02 1640
函数原型: NTSTATUS PsSetCreateProcessNotifyRoutine( _In_ PCREATE_PROCESS_NOTIFY_ROUTINE NotifyRoutine, _In_ BOOLEAN Remove ); 原文的解释为:The PsSetCreateProcessNotifyRoutine routine...
PsSetProcessCreateNotifyRoutineEx
yymiaoxin2010的博客
06-09 247
PsSetProcessCreateNotifyRoutineEx返回错误c0000022 项目->属性->链接器->命令行 添加 “/INTEGRITYCHECK”
解决 PsSetCreateProcessNotifyRoutineEx 调用失败的方法
keidoekd2345的专栏
11-10 4624
http://social.technet.microsoft.com/wiki/contents/articles/255.forced-integrity-signing-of-portable-executable-pe-files.aspx#How_to_set_the_IMAGE_DLLCHARACTERISTICS_FORCE_INTEGRITY_flag_by_using_Link_
Window内核 PsSetCreateProcessNotifyRoutineEx失败
做一个快乐学习者
06-14 338
vs设置:“项目-属性-链接器-命令行”位置添加 /INTEGRITYCHECK 即可,不然注册回调的时候会失败
PsSetCreateProcessNotifyRoutineEx 防多开
sanqiuai的博客
09-06 951
这个函数的功能是设置一个回调钩子,该钩子会在进程创建和进程销毁时被调用,钩子由用户提供 API格式 NTSTATUS PsSetCreateProcessNotifyRoutineEx( PCREATE_PROCESS_NOTIFY_ROUTINE_EX NotifyRoutine, BOOLEAN Remove ); NotifyRoutine 是IN,传入用户指定的回调钩子 Remove 是IN ,创建回调钩子时传FALSE,创建了肯定需要在
PsSetCreateProcessNotifyRoutineEx进程监控框架
Cosmopolitan的博客
10-08 1649
vs设置:“项目-属性-链接器-命令行”位置添加 /INTEGRITYCHECK 即可,不然注册回调的时候会失败 参考:https://xiaodaozhi.com/kernel/18.html #include <ntddk.h> typedef NTSTATUS (*PPsSetCreateProcessNotifyRoutineEx)( _In_ PCREATE_PROCESS...
[原创]通过PsSetCreateProcessNotifyRoutineExPsSetCreateThreadNotifyRoutine实现进程与线程监控
追逐光芒,追随内心
12-10 1698
PsSetCreateProcessNotifyRoutineExWindows提供得一个可以通过设置回调函数实现进程监控的内核API。其在文档的定义如下: 1 2 3 4 5 NTSTATUS PsSetCreateProcessNotifyRoutineEx( INPCREATE_PROCESS_NOTIFY_ROUTINE_EXNotifyRoutine, INBOOLEAN...
2020Windows动态库及例程_打印机驱动调用_
09-30
调用posteck打印机的驱动打印标签,打印机厂商POSTECK
Python调用Windows命令打印文件
09-18
Windows命令行打印文件使用print 命令,具体用法可使用help print查看,下面是使用Python调用print指令执行打印文件功能的代码,需要的朋友可以参考下
Python 调用 Windows API COM 新法
09-18
Python中调用Win32API 通常都是使用 PyWin32或者ctypes。本文给大家介绍Python 调用 Windows API COM 新法,感兴趣的朋友跟随小编一起看看吧
jquery ajax 调用失败的原因示例介绍
10-26
jquery 在使用ajax过程中出现调用失败的情况,想必大家都有遇到过吧,在本文有个不错的示例,希望对大家有所帮助
windows驱动开发+exe调用驱动文件中的api
12-26
vc++ windows驱动开发+exe调用驱动文件中的api 用windows ddk编写windows驱动文件sys,再用visual c++编写exe调用驱动文件中的功能
应用层与驱动层通信DeviceIoControl
youyudexiaowangzi的专栏
01-12 5542
驱动层与应用层通信是通过DeviceIoControl, 首先驱动层要实现: pDriverObject->DriverUnload = MyDriverUnload; pDriverObject->MajorFunction[IRP_MJ_CREATE] = MyCreate; pDriverObject->MajorFunction[IRP_MJ_CLOSE] = MyClose;
win10使用winDbg与VMware中的win7进行双机调试
youyudexiaowangzi的专栏
12-18 2452
环境: 真实机windows10 windows10内安装winDbg windows10内安装VMware VMware内安装windows7 步骤: 1.windows内安装windbg,不知道什么原因microsoft store中的windbgpreview安装不上,于是就用了老版本的windbg。 2.vmware添加串口 不知道为什么,创建的串口叫串行端口2,这个数字很重要,要记住,使用命名的管道要\\.\pipe\前缀,后面的名字可以自己写一个短的好记的 3.Windo.
visual studio 2019 + WinDDK 7600.16385.0编写驱动
youyudexiaowangzi的专栏
03-23 2130
驱动版本WinDDK 7600.16385.0 IDE:visual studio 2019 新建空白项目 配置类型从exe改为生成文件 配置完后,配置属性中就只剩基础配置了,没有C/C++、链接器等配置,因为驱动程序需要通过ddk编译,所以其他配置也是没用,自己配置编译程序的命令行即可 添加makefile和source文件 makefile是默认的,不需要修改的 # # DO NOT EDIT THIS FILE!!! Edit .\sources. if you want .
Windows api安装驱动
youyudexiaowangzi的专栏
12-15 1813
安装驱动实际上是CreateService BOOL InstallDriver(IN LPCTSTR DriverName, IN LPCTSTR sysFileName) { CHAR szTargetPath[MAX_PATH]; // 目的地地址 // C:\Windows\System32\dirvers\abc.sys // abc.sys就是sysFileName GetWindowsDirectoryA(szTargetPath, MAX_PATH); S
ddk7600驱动开发环境搭建
youyudexiaowangzi的专栏
12-09 1487
ddk7600官方下载页面网址 Download Windows Driver Kit Version 7.1.0 from Official Microsoft Download Centerhttps://www.microsoft.com/en-us/download/details.aspx?id=11800官方下载地址 https://download.microsoft.com/download/4/A/2/4A25C7D5-EFBE-4182-B6A9-AE6850409A78/GRMWD
nt驱动CreateService创建SERVICE_BOOT_START级别服务报错87
youyudexiaowangzi的专栏
03-05 1361
在网上看了一个关于nt驱动安装卸载的例子,于是自己写了需要SERVICE_BOOT_START级别启动的驱动,但是安装的时候报错了,错误码是87。但是我只是改了一个级别而已,没道理会出错的。然后我只是简单的把驱动文件复制到C:\Windows\System32\Drivers目录。再执行一遍,居然成功了。不改级别的时候,测试过,路径不需要指定。可能因为这个级别的特殊性吧。...
Windows7 驱动调用显示设置中的“检测”按钮
最新发布
06-13
Windows 驱动程序中,你可以使用 DirectX API 来设置显示模式。如果你想调用显示设置中的“检测”按钮,你可以使用 DirectX API 函数 ChangeDisplaySettingsEx,该函数可以设置要应用的分辨率和刷新率,并显示...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值