本文探讨了如何通过监控R3层API(如CreateProcess, winexec, ShellExecute)来增强系统安全性,最终目标是控制进程启动。作者指出,这些API最终都会调用NTCreateProcess,因此转向R0层进行监控。通过创建驱动程序并定义DriverEntry、DriverUnload等函数,以及设置IRP处理函数,实现对进程创建的深层控制,以达到防止恶意软件启动的目的。"
20388407,759271,Android WebView 播放HTML音频解决方案,"['Android开发', '前端开发', 'WebView', 'HTML5音频']
//因为笔者学识浅薄.所有提到的数据均为win xp sp3下的
//这个标题是很嚣张哈..我用这个名字仅仅是因为 所有木马想要发作 必须先启动 只要控制好进程启动 在启动前进行检查 就很不错了
//事实上 很多杀毒软件甚至都是这么做的
众所周知 对于程序员来说 在R3使用ms提供的winapi是非常舒服的..
但是对于安全软件来说 这是非常不爽的.因为同一种功能可能使用多个api达成
比如说像CreateProcess.这个api将创建一个进程,但是为了兼容古老的操作系统 winexec也还是可以呼叫的,还有ShellExecute这个api..
那么.我在想 如何从如海般的r3 api中脱离出来?
结果发现 这三个api 不管怎么调用 最后也是NTCreateProcess
(但是NTCreateProcess却是内部调用的NTCreateProcessEx,而NTCreateProcessEx是一个在ssdt表中存在的函数虽然也是未公开的)
所以我只能转战r0了
(首先去msdn找NTCreateProcess的原形,额.没有?好吧 去百度www.baidu.com/s?wd=NTCreateProcess,嗯 ..好吧 我失败了.去谷歌把.找到了
没错 现在我再次感觉到对于程序员来说 不能依赖百度的原因了.)
这个函数的原型
NtCreateProcess(
OUT
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
