创建/结束进程回调 PsSetCreateProcessNotifyRoutine

最新推荐文章于 2021-12-10 00:26:05 发布
最新推荐文章于 2021-12-10 00:26:05 发布
阅读量587 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 数据结构与算法
原文链接:http://www.cnblogs.com/BxWlboke/p/4994664.html
本文详细介绍了PsSetCreateProcessNotifyRoutine函数的作用和使用方法。该函数允许驱动程序注册或注销一个回调例程,当系统中进程创建或删除时,此例程会被调用。文章解释了如何通过该函数跟踪系统级的进程活动,包括参数说明、调用时机及运行上下文。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

PsSetCreateProcessNotifyRoutine

PsSetCreateProcessNotifyRoutine添加或者移除一个驱动支持的回调例程(也可以成为函数)。

当一个进程被创建或者删除时,一系列的例程将会被调用。PS:相当于把例程加入到一个链表中,当进程被创建或者删除时,所有的例程都会被调用(应该是这个意思)

NTSTATUS
PsSetCreateProcessNotifyRoutine(
IN PCREATE_PROCESS_NOTIFY_ROUTINE NotifyRoutine, 例程函数的入口地址,
IN BOOLEAN Remove  FALSE时,添加例程到链表, TRUE,从链表中删除该例程
);

返回值:

VOID
(*PCREATE_PROCESS_NOTIFY_ROUTINE) (
IN HANDLE ParentId,
IN HANDLE ProcessId,
IN BOOLEAN Create
);

ParentId和ProcessId 用于确定进程,Create参数表明进程是创建还是删除。

一个IFS或最高级的system-profiling驱动可能注册一个process-creation回调去追踪全系统的创建和删除进程而不是驱动的内部的,
对于Vista和其后的版本,系统可以创建高达64个系统创建回调。

当Create为True时,例程在新创建的进程(ProcessId句柄指定)的初始化线程被创建后被调用。 当Create为False时,例程在进程的最后一个线程被关闭,进程的地址空间将被释放时调用。
进程的进程通知例程运行在IRQL = PASSIVE_LEVEL,当一个进程被创建,例程运行在新创建的进程的线程上下文中。 当进程被删除时,例程运行在进程的最后一个线程(将要退出进程)中。

转载于:https://www.cnblogs.com/BxWlboke/p/4994664.html

dingji2919
关注
WDK驱动开发之路——进程回调
AuddyTab的博客
11-22 621
#include <wdm.h> PVOID _HANDLE = NULL; typedef struct _LDR_DATA_TABLE_ENTRY { // Start from Windows XP LIST_ENTRY InLoadOrderLinks; LIST_ENTRY InMemoryOrderLinks; LIST_ENTRY InInitializationOrderLinks; PVOID DllBase; PVOID .
Windows 进程创建和终止
m0_56069948的博客
07-15 821
创建一个继承需要考虑非常多的点,从用户模式到内核模式的转换,内核对象的构建再回到用户模式子系统的通信。这个部分牵涉到的内容非常多,也非常值得详细研究。先了解大框架,再来细化其中的每个点。httpshttpshttpshttps。...
PsSetCreateProcessNotifyRoutine妙用
热门推荐
yushiqiang1688的专栏
01-18 1万+
最近要做一个进程监控的程序,功能很简单,就是创建和退出进程的时候,能触发我们的事件。首先的第一想法,是Hook ZwCreateProcess,结果调试的时候发现,很多创建进程的动作,并没有通过这个API执行,所以自然就是没办法监控进程创建,于是回到本质,从创建进程的动作过程来分析,创建新的进程,其大致要经历以下步骤:(1)打开可执行文件,以FILE_EXECUTE权限打开;(2)将
进程监控驱动 PsSetCreateProcessNotifyRoutine
09-02 1793
函数原型: NTSTATUS PsSetCreateProcessNotifyRoutine( _In_ PCREATE_PROCESS_NOTIFY_ROUTINE NotifyRoutine, _In_ BOOLEAN Remove ); 原文的解释为:The PsSetCreateProcessNotifyRoutine routine...
PsSetCreateProcessNotifyRoutine监控进程创建
Sven的忘却日记
09-25 5712
PsSetCreateProcessNotifyRoutine函数用来注册一个进程创建回调函数,当有新从进程创建时,就把父进程的ID,和子进程(被创建进程)ID传给回调函数,通过回调函数,可以监控新创建进程 NTSTATUS PsSetCreateProcessNotifyRoutine( _In_ PCREATE_PROCESS_NOTIFY_ROUTINE NotifyRouti...
驱动层PsSetCreateProcessNotifyRoutine监视进程 ,返回应用层
ShadowAssassin的专栏
01-04 3463
源程序大致过程如下: 1、驱动程序调用函数PsSetCreateProcessNotifyRoutine  设置监视进程回调函数ProcessMonitorCallback  ,当应用层有进程创建时,驱动程序调用回调函 数ProcessMonitorCallback获得新建或者结束进程信息,将信息存放到扩展结构中,以便通过method_buffer方式传回应用层。 2、当
枚举系统映像回调跟Phunt一样
05-29
- 进程回调通常涉及到监视进程创建结束或特定行为。例如,通过注册`PsSetCreateProcessNotifyRoutine`函数,可以获取到进程创建和删除的通知。 - 这些回调允许开发者实现安全策略、性能监控或调试目的。 3. *...
适用于XP和WIN7的进程创建监控源码
例如,`PsSetCreateProcessNotifyRoutine`是内核模式下的一个函数,可以用来设置一个回调,每次进程创建时都会调用该回调函数。 3. **监控的实现方式**: - **挂钩API**:通过重定向或修改API函数,可以在进程创建...
扩展内核函数 PsSetCreateProcessNotifyRoutine 等的蹲坑数量
12-01
其中,`PsSetCreateProcessNotifyRoutine`是一个重要的内核级函数,用于注册一个回调函数,该函数会在进程创建或退出时被调用,为系统提供了对进程生命周期的监控能力。 `PsSetCreateProcessNotifyRoutine`函数的...
利用ObRegisterCallbacks保护进程并附上突破ObRegisterCallbacks的方法[未更新]
zhuhuibeishadiao
05-02 9457
写上未更新的原因是我觉得 当初写这篇文章的时候理解的还是不够彻底,现在又了新的认识,待老夫有时间的时候在来重写一次 这里附上新的突破方法 我已经我写的时候已经写上了 今天发到博客的时候才发现没写,来补上 可以看我发到梦老大论坛的帖子,直接看第三种方法就行,前面两种我都服了,这样获取对象类型,太年轻啊 http://www.mengwuji.net/forum.php?mod=viewthr
x32下逆向 PsSetCreateProcessNotifyRoutine 进程钩子
weixin_30836759的博客
07-28 582
目录 一丶前言 二丶逆向过程 1.windbg挂载 win7 32位.定位到函数反汇编位置 2.逆向 PspSetCreateProcessNotifyRoutine 3.逆向 ExReferenceCallBackBlock 三丶总结 ...
创建进程回调
09-02 366
#include &lt;ntddk.h&gt; VOID UnloadDriver(PDRIVER_OBJECT pDriver); VOID CreateProcessRoutineSpy( IN HANDLE ParentId, IN HANDLE ProcessId, IN BOOLEAN Create ); NTSTATUS DriverEntry(PDRIVER_OB...
windows驱动 - 进程回调
qq726232111的博客
12-29 1240
0x00 函数 ObRegisterCallbacks() //为线程、进程和桌面句柄操作注册回调例程列表 ObUnRegisterCallbacks() //卸载回调的注册 0x01 代码 //打印哪些进程在操作notepad进程句柄 #include <wdm.h> PCHAR PsGetProcessImageFileName(PEPROCESS Process); #define ProcessName "cmd" typedef struct _LDR_DATA_T..
PspCreateProcessNotifyRoutine,PspCreateThreadNotifyRoutine,PspLoadImageNotifyRoutine表全部清空
KernelEx的专栏
08-20 5021
RtlInitUnicodeString(&name,L"PsSetCreateProcessNotifyRoutine");RemoveNotifyRoutine((PVOID)MmGetSystemRoutineAddress(&name));RtlInitUnicodeString(&name,L"PsRemoveCreateThreadNotifyRoutine");Rem
进程监视函数PsSetCreateProcessNotifyRoutine
ShadowAssassin的专栏
01-02 3531
这两天看书,看到这个函数,感觉挺有意思,就测试了下。从便面意思来看PsSetCreateProcessNotifyRoutine 设置创建进程通知的函数。 The PsSetCreateProcessNotifyRoutine routine adds a driver-supplied callback routine to, or removes it from, a list of
进程线程 委托发起进程 回调
haifeng619的专栏
08-26 727
一个进程至少包含一个线程。 一个应用程序启动,一般会启动一个进程,然后进程启动多个线程。 互斥锁"(Mutual exclusion,缩写 Mutex),防止多个线程同时读写某一块内存区域 号量"(Semaphore),用来保证多个线程不会互相冲突。 不难看出,mutex是semaphore的一种特殊情况(n=1时)。也就是说,完全可以用后者替代前者。但是,因为mutex较为简单,
进程池的回调函数
ayaodi7887的博客
08-15 132
进程先执行func1,把func1的返回值作为参数传给func2,(func1是由子线程执行,func是由主线程执行) 回调函数一般用于爬虫:所有子线程用来爬取数据,主线程用来处理数据(爬取数据耗时长,处理数据耗时短) 转载于:https://www.cnblogs.com/qyh1499816254/p/11359638.html...
监控系统所有进程创建和销毁 (PsSetCreateProcessNotifyRoutine)
快乐工作,精彩生活
05-13 1961
<br />使用驱动方式,在原来的ProcObsrv.c基础上进行了完善,所有进程创建和销毁都不会丢失,能完全捕获到。<br /> <br />具体代码如下:<br /> <br />//---------------------------------------------------------------------------<br />//<br />// ProcObsrv.c<br />//<br />// SUBSYSTEM: <br />//    System monitor<br
[原创]通过PsSetCreateProcessNotifyRoutineEx和PsSetCreateThreadNotifyRoutine实现进程线程监控
追逐光芒,追随内心
12-10 2123
PsSetCreateProcessNotifyRoutineEx是Windows提供得一个可以通过设置回调函数实现进程监控的内核API。其在文档的定义如下: 1 2 3 4 5 NTSTATUS PsSetCreateProcessNotifyRoutineEx( INPCREATE_PROCESS_NOTIFY_ROUTINE_EXNotifyRoutine, INBOOLEAN...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值