PsSetCreateProcessNotifyRoutineEx进程监控框架

最新推荐文章于 2023-06-19 11:10:30 发布
原创 最新推荐文章于 2023-06-19 11:10:30 发布 · 1.8k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

vs设置:“项目-属性-链接器-命令行”位置添加 /INTEGRITYCHECK 即可,不然注册回调的时候会失败
参考:https://xiaodaozhi.com/kernel/18.html

#include <ntddk.h>

typedef NTSTATUS (*PPsSetCreateProcessNotifyRoutineEx)(
_In_ PCREATE_PROCESS_NOTIFY_ROUTINE_EX NotifyRoutine,
_In_ BOOLEAN Remove
);

PPsSetCreateProcessNotifyRoutineEx pPsSetCreateProcessNotifyRoutineEx = NULL;
BOOLEAN	bRegister = FALSE;

VOID CreateProcessNotifyEx(
	_Inout_  PEPROCESS              Process,
	_In_     HANDLE                 ProcessId,
	_In_opt_ PPS_CREATE_NOTIFY_INFO CreateInfo
	)
{
	HANDLE	hParentId = NULL;
	HANDLE	hParentThreadId = NULL;
	HANDLE	hCurrentThreadId = NULL;
	hCurrentThreadId = PsGetCurrentThreadId();
	if (CreateInfo == NULL){
		DbgPrint("ProcessDestory ThreadID[%d]", hCurrentThreadId);
		return;
	}
	hParentId = CreateInfo->CreatingThreadId.UniqueProcess;
	hParentThreadId = CreateInfo->CreatingThreadId.UniqueThread;
	DbgPrint("CreateProcess ParentID[%d] Name:%wZ", hParentId, CreateInfo->ImageFileName);
	return;

}

NTSTATUS	Unload(PDRIVER_OBJECT driver)
{
	DbgPrint("unload driver");
	if (bRegister && pPsSetCreateProcessNotifyRoutineEx){
		pPsSetCreateProcessNotifyRoutineEx(CreateProcessNotifyEx, TRUE);
		bRegister = FALSE;
	}
	return STATUS_SUCCESS;
}



NTSTATUS	DriverEntry(PDRIVER_OBJECT	driver, PUNICODE_STRING	RegPath)
{
	DbgPrint("Driver Entry");
	driver->DriverUnload = Unload;
	do{
		UNICODE_STRING	uFunName = { 0 };
		RtlInitUnicodeString(&uFunName, L"PsSetCreateProcessNotifyRoutineEx");

		pPsSetCreateProcessNotifyRoutineEx = (PPsSetCreateProcessNotifyRoutineEx)MmGetSystemRoutineAddress(&uFunName);
		if (pPsSetCreateProcessNotifyRoutineEx == NULL){
			DbgPrint("GetSetCreateProcessNotif Failed");
			break;
		}
		if (STATUS_SUCCESS != pPsSetCreateProcessNotifyRoutineEx(CreateProcessNotifyEx, FALSE)){
			DbgPrint("Register Process Notify Failed");
			break;
		}
		bRegister = TRUE;
		DbgPrint("Register Process Notify Success");

	} while (FALSE);
	return STATUS_SUCCESS;
}

在这里插入图片描述

监控系统所有进程的创建和销毁 (PsSetCreateProcessNotifyRoutine)
快乐工作,精彩生活
05-13 1987
<br />使用驱动方式,在原来的ProcObsrv.c基础上进行了完善,所有进程的创建和销毁都不会丢失,能完全捕获到。<br /> <br />具体代码如下:<br /> <br />//---------------------------------------------------------------------------<br />//<br />// ProcObsrv.c<br />//<br />// SUBSYSTEM: <br />//    System monitor<br
64位下使用回调函数实现监控
hongduilanjun的博客
11-01 1669
在32位的系统下,我们想要实现某些监控十分简单,只需要找到对应的API实现挂钩操作即可检测进程。但在64位系统下随着的引入,导致我们如果继续使用挂钩API的方式进行监控会出现不可控的情况发生。微软也考虑到了用户程序的开发,所以开放了方便用户调用的系统回调API函数,在64位系统下的监控,使用系统回调相对于直接hook的方式往往是更值得青睐的一方。
Windows动态沙箱实现--进程回调监控
wangmin1944的专栏
06-19 508
下面是我们的回调代码实现,核心功能是获取当前创建的进程PID、全路径、命令行、父进程PID、父进程全路径信息。需要注意的是,这里获取的父进程信息有可能是假的,最常见的就是启动服务、shellcode注入启动或者借助UpdateProcThreadAttribute伪造父进程启动。这类的伪装,我们需要在后续的InfinityHook里实现发现并进行关联标注。前面讨论了沙箱的目标,今天开始落实代码实现,从功能实现的先后顺序上,我们优先实现4个回调:进程回调、镜像回调、线程回调、注册表回调,今天实现进程回调。
PsSetCreateProcessNotifyRoutine妙用
热门推荐
yushiqiang1688的专栏
01-18 1万+
最近要做一个进程监控的程序,功能很简单,就是创建和退出进程的时候,能触发我们的事件。首先的第一想法,是Hook ZwCreateProcess,结果调试的时候发现,很多创建进程的动作,并没有通过这个API执行,所以自然就是没办法监控进程的创建,于是回到本质,从创建进程的动作过程来分析,创建新的进程,其大致要经历以下步骤:(1)打开可执行文件,以FILE_EXECUTE权限打开;(2)将
进程监控驱动 PsSetCreateProcessNotifyRoutine
09-02 1839
函数原型: NTSTATUS PsSetCreateProcessNotifyRoutine( _In_ PCREATE_PROCESS_NOTIFY_ROUTINE NotifyRoutine, _In_ BOOLEAN Remove ); 原文的解释为:The PsSetCreateProcessNotifyRoutine routine...
基于WDM的驱动开发实例:内核级进程监控
本示例聚焦于进程监控子集,展示了如何利用WDM驱动在Ring0中稳定高效地截获进程生命周期事件,这对于系统安全软件(如HIPS、EDR)、行为分析引擎、恶意软件检测工具等具有重要意义。 标签列表中的关键词进一步揭示...
驱动监控进程的创建与实现
在Windows操作系统中,实现驱动级的进程监控通常依赖于内核提供的回调机制。Windows内核提供了诸如PsSetCreateProcessNotifyRoutine、PsSetCreateProcessNotifyRoutineEx等函数,允许驱动程序注册一个回调函数,当...
如何hook我们的进程防止其他进程打开我们的进程和扫描我们的进程内存
最新发布
11-22
d) 使用回调(Callback)机制:例如,使用PsSetCreateProcessNotifyRoutineEx(驱动层)来监控进程创建,并阻止对目标进程的访问。 因此,最有效的方法是在驱动层进行保护。 具体步骤(驱动层方法): 1. 编写...
基于Hook技术的进程隐藏与保护实现
其实现方式包括但不限于:设置回调函数`PsSetCreateProcessNotifyRoutineEx`监控进程结束请求;使用`ObRegisterCallbacks`注册对象回调,拦截对目标进程句柄的打开操作(OPEN_PROCESS),从而阻止外部工具如Process ...
进程注入技术大起底:pppsdwewerewrsd相关进程的典型行为特征分析
本文系统阐述了多种主流进程注入技术的核心原理与实现方式,涵盖远程线程注入、APC注入、反射型DLL注入及进程镂空等高级方法,深入分析其在Windows系统下的行为特征与隐蔽机制。结合内存操作、API调用序列与进程句柄...
易语言监视新进程创建
10-08
易语言监视新进程创建监视新进程创建监视新进程创建
扩展内核函数 PsSetCreateProcessNotifyRoutine 等的蹲坑数量
12-01
扩展内核函数 PsSetCreateProcessNotifyRoutine 等的蹲坑数量
PsSetCreateProcessNotifyRoutineEx 防多开
sanqiuai的博客
09-06 1113
这个函数的功能是设置一个回调钩子,该钩子会在进程创建和进程销毁时被调用,钩子由用户提供 API格式 NTSTATUS PsSetCreateProcessNotifyRoutineEx( PCREATE_PROCESS_NOTIFY_ROUTINE_EX NotifyRoutine, BOOLEAN Remove ); NotifyRoutine 是IN,传入用户指定的回调钩子 Remove 是IN ,创建回调钩子时传FALSE,创建了肯定需要在
[原创]通过PsSetCreateProcessNotifyRoutineEx和PsSetCreateThreadNotifyRoutine实现进程与线程监控
追逐光芒,追随内心
12-10 2202
PsSetCreateProcessNotifyRoutineEx是Windows提供得一个可以通过设置回调函数实现进程监控的内核API。其在文档的定义如下: 1 2 3 4 5 NTSTATUS PsSetCreateProcessNotifyRoutineEx( INPCREATE_PROCESS_NOTIFY_ROUTINE_EXNotifyRoutine, INBOOLEAN...
基于PsSetCreateProcessNotifyRoutineEx实现监控进程创建并阻止创建(禁用QQ 360等exe可执行文件)
苞米地里捉小鸡的博客
09-20 4128
对于内核层实现监控进程的创建或者退出,你可能第一时间会想到 HOOK 内核函数 ZwOpenProcess、ZwTerminateProcess 等。确定,在内核层中的 HOOK 已经给人留下太多深刻的印象了,有 SSDT HOOK、Inline HOOK、IRP HOOK、过滤驱动等等。 但是,Windows 其实给我们提供现成的内核函数接口,方便我们在内核下监控用户层上进程的创建和退出的情况。即 PsSetCreateProcessNotifyRoutineEx 内核函数,可以设置一个回调函数,来监控
驱动层PsSetCreateProcessNotifyRoutine监视进程 ,返回应用层
ShadowAssassin的专栏
01-04 3502
源程序大致过程如下: 1、驱动程序调用函数PsSetCreateProcessNotifyRoutine  设置监视进程的回调函数ProcessMonitorCallback  ,当应用层有进程创建时,驱动程序调用回调函 数ProcessMonitorCallback获得新建或者结束的进程信息,将信息存放到扩展结构中,以便通过method_buffer方式传回应用层。 2、当
PsSetCreateProcessNotifyRoutine监控进程创建
Sven的忘却日记
09-25 5833
PsSetCreateProcessNotifyRoutine函数用来注册一个进程创建的回调函数,当有新从进程被创建时,就把父进程的ID,和子进程(被创建的进程)ID传给回调函数,通过回调函数,可以监控新创建的进程 NTSTATUS PsSetCreateProcessNotifyRoutine( _In_ PCREATE_PROCESS_NOTIFY_ROUTINE NotifyRouti...
进程监视函数PsSetCreateProcessNotifyRoutine
ShadowAssassin的专栏
01-02 3573
这两天看书,看到这个函数,感觉挺有意思,就测试了下。从便面意思来看PsSetCreateProcessNotifyRoutine 设置创建进程通知的函数。 The PsSetCreateProcessNotifyRoutine routine adds a driver-supplied callback routine to, or removes it from, a list of
PsSetProcessCreateNotifyRoutineEx
yymiaoxin2010的博客
06-09 433
PsSetProcessCreateNotifyRoutineEx返回错误c0000022 项目->属性->链接器->命令行 添加 “/INTEGRITYCHECK”
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值