编写进程/线程监视器

最新推荐文章于 2024-04-03 16:49:40 发布
转载 最新推荐文章于 2024-04-03 16:49:40 发布 · 551 阅读 · 0
文章标签:

#thread #image #string #object #ddk #properties

本文详细介绍了如何使用NTDDK手册中的PsSetCreateProcessNotifyRoutine(), PsSetCreateThreadNotifyRoutine()等函数,实现动态监视NT系统中任意进程/线程的创建与销毁,并通过未公开函数PsLookupProcessByProcessId()获取进程名,以及动态监视进程装载映像,提供了完整的代码实现。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Author : sinister
Email : sinister@whitecell.org
HomePage: http://www.whitecell.org

(首先说明一下。有不少朋友来信问一些进程/线程监视工具是如何实现的。
我写出来是为了让那些朋友有进一步的了解,也省的我一封封的回MAIL。如果您
是 NT DRIVER熟手,那么此文提到的方法您可能早已掌握,完全可以略过不看。)

有时候我们希望能够动态监视系统中任意进程/线程的创建与销毁。为了达
到此目的我翻阅了 DDK 手册,发现其提供的 PsSetCreateProcessNotifyRoutine(),
PsSetCreateThreadNotifyRoutine(),等函数可以实现此功能。这两个函数可以

通过向系统注册一个 CALLBALCK 函数来监视进程/线程等操作。函数原形如下:

NTSTATUS
    PsSetCreateProcessNotifyRoutine(
    IN PCREATE_PROCESS_NOTIFY_ROUTINE   NotifyRoutine,
    IN BOOLEAN   Remove
    );

 VOID
 (*PCREATE_PROCESS_NOTIFY_ROUTINE) (
      IN HANDLE   ParentId,
      IN HANDLE   ProcessId,
      IN BOOLEAN   Create
      );


 NTSTATUS
    PsSetCreateThreadNotifyRoutine(
    IN PCREATE_THREAD_NOTIFY_ROUTINE   NotifyRoutine
    );

 VOID
 (*PCREATE_THREAD_NOTIFY_ROUTINE) (
      IN HANDLE   ProcessId,
      IN HANDLE   ThreadId,
      IN BOOLEAN   Create
      );
通过原形可以看出,其 CALLBACK 函数只提供了进程ID/线程ID。并没有提供
进程名。那么我们要进一步通过进程ID来获取进程名。这需要用到一个未公开
的函数 PsLookupProcessByProcessId()。函数原形如下: 

NTSTATUS PsLookupProcessByProcessId(
       IN ULONG ulProcId, 
       OUT PEPROCESS * pEProcess
       );

函数输出的 EPROCESS 结构也是未公开的内核进程结构,很多人称其为 KPEB。
EPROCESS 结构中的偏移 0x1FC 指向当前进程名的偏移。(这个结构虽然可以在
驱动程序中直接使用。但没有公布其结构,网上有不少高手已将其结构给出。有
兴趣可以自行搜索,或去 IFS DDK 中获取,这里因为结构太长,就不贴出来了)
有了这个结构我们就可以从中得到进程名。NT系统还提供了一个函数可以动态监
视进程装载映像。此函数可以得到进程加栽时所调用的 DLL 名称与全路径,还有
一些映像信息。为我们获得更详细的进程装载信息提供了更好的帮助。

函数原形如下: 

NTSTATUS
    PsSetLoadImageNotifyRoutine(
    IN PLOAD_IMAGE_NOTIFY_ROUTINE   NotifyRoutine
    );

 VOID
 (*PLOAD_IMAGE_NOTIFY_ROUTINE) (
      IN PUNICODE_STRING   FullImageName,
      IN HANDLE   ProcessId, // where image is mapped
      IN PIMAGE_INFO   ImageInfo
      );

 typedef struct   _IMAGE_INFO {
      union {
          ULONG   Properties;
          struct {
              ULONG ImageAddressingMode   : 8; //code addressing mode
              ULONG SystemModeImage       : 1; //system mode image
              ULONG ImageMappedToAllPids : 1; //mapped in all processes
              ULONG Reserved              : 22;
          };
      };
      PVOID   ImageBase;
      ULONG   ImageSelector;
      ULONG   ImageSize;
      ULONG   ImageSectionNumber;
 } IMAGE_INFO, *PIMAGE_INFO;
利用以上提供的函数与结构,我们便能实现一个进程/线程监视器。下面这段
代码演示了如何实现此功能。

/*****************************************************************
 文件名         : WssProcMon.c
 描述           : 进程/线程监视器
 作者           : sinister
 最后修改日期   : 2002-11-02

 *****************************************************************/

 #include "ntddk.h"
 #include "string.h"

 #define ProcessNameOffset   0x1fc

 static NTSTATUS   MydrvDispatch (IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp);
 NTSTATUS PsLookupProcessByProcessId(IN ULONG ulProcId, OUT PEPROCESS * pEProcess);
 VOID ProcessCreateMon ( IN HANDLE   hParentId, IN HANDLE PId,IN BOOLEAN bCreate);
 VOID ThreadCreateMon (IN HANDLE   PId, IN HANDLE TId, IN BOOLEAN   bCreate);
 VOID ImageCreateMon (IN PUNICODE_STRING   FullImageName, IN HANDLE   ProcessId, IN PIMAGE_INFO   ImageInfo );


 // 驱动入口
 NTSTATUS   DriverEntry( IN PDRIVER_OBJECT DriverObject,   IN PUNICODE_STRING RegistryPath ) 
 {
     
      UNICODE_STRING   nameString, linkString;
      PDEVICE_OBJECT   deviceObject;
      NTSTATUS         status;
      int                 i;
     

      //建立设备
      RtlInitUnicodeString( &nameString, L"\\Device\\WssProcMon" );
     
      status = IoCreateDevice( DriverObject,
                               0,
                               &nameString,
                               FILE_DEVICE_UNKNOWN,
                               0,
                               TRUE,
                               &deviceObject
                             );
                            

      if (!NT_SUCCESS( status ))
          return status;
     

      RtlInitUnicodeString( &linkString, L"\\DosDevices\\WssProcMon" );

      status = IoCreateSymbolicLink (&linkString, &nameString);

      if (!NT_SUCCESS( status ))
      {
          IoDeleteDevice (DriverObject->DeviceObject);
          return status;
      }    
     
      status = PsSetLoadImageNotifyRoutine(ImageCreateMon);
      if (!NT_SUCCESS( status ))
      {
          DbgPrint("PsSetLoadImageNotifyRoutine()\n");
          return status;
      }    

      status = PsSetCreateThreadNotifyRoutine(ThreadCreateMon);
      if (!NT_SUCCESS( status ))
      {
          DbgPrint("PsSetCreateThreadNotifyRoutine()\n");
          return status;
      }    

      status = PsSetCreateProcessNotifyRoutine(ProcessCreateMon, FALSE);
      if (!NT_SUCCESS( status ))
      {
          DbgPrint("PsSetCreateProcessNotifyRoutine()\n");
          return status;
      }    
     

      for ( i = 0; i < IRP_MJ_MAXIMUM_FUNCTION; i++)     {

            DriverObject->MajorFunction[i] = MydrvDispatch;
      }
      
    return STATUS_SUCCESS; 

 } 



 //处理设备对象操作

 static NTSTATUS MydrvDispatch (IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp)
 { 
      Irp->IoStatus.Status = STATUS_SUCCESS;
      Irp->IoStatus.Information = 0L;
      IoCompleteRequest( Irp, 0 );
      return Irp->IoStatus.Status;
     
 }


 VOID ProcessCreateMon ( IN HANDLE hParentId, IN HANDLE PId,IN BOOLEAN bCreate )
 {

      PEPROCESS   EProcess;
      ULONG       ulCurrentProcessId;
      LPTSTR        lpCurProc;
      NTSTATUS    status;

      status = PsLookupProcessByProcessId( (ULONG)PId, &EProcess);
      if (!NT_SUCCESS( status ))
      {
          DbgPrint("PsLookupProcessByProcessId()\n");
          return ;
      }
     

      if ( bCreate )
      {
            lpCurProc = (LPTSTR)EProcess;
          lpCurProc = lpCurProc + ProcessNameOffset;

          DbgPrint( "CREATE PROCESS = PROCESS NAME: %s , PROCESS PARENTID: %d, PROCESS ID: %d, PROCESS ADDRESS %x:\n", 
                                lpCurProc,
                                hParentId,
                                PId,
                                EProcess );
      }
      
      else
      {

          DbgPrint( "TERMINATED == PROCESS ID: %d\n", PId);

      }

 }

 VOID ThreadCreateMon (IN HANDLE PId, IN HANDLE TId, IN BOOLEAN   bCreate)
 {

      PEPROCESS    EProcess;
      ULONG         ulCurrentProcessId;
      LPTSTR         lpCurProc;
      NTSTATUS     status;

      status = PsLookupProcessByProcessId( (ULONG)PId, &EProcess);
      if (!NT_SUCCESS( status ))
      {
          DbgPrint("PsLookupProcessByProcessId()\n");
          return ;
      }    

      if ( bCreate )
      {
            lpCurProc     = (LPTSTR)EProcess;
          lpCurProc     = lpCurProc + ProcessNameOffset;

          DbgPrint( "CREATE THREAD = PROCESS NAME: %s PROCESS ID: %d, THREAD ID: %d\n", lpCurProc, PId, TId );
                               
      }
      
      else
      {

          DbgPrint( "TERMINATED == THREAD ID: %d\n", TId);

      }

 }

 VOID ImageCreateMon (IN PUNICODE_STRING   FullImageName, IN HANDLE   ProcessId, IN PIMAGE_INFO   ImageInfo )
 {
      DbgPrint("FullImageName: %S,Process ID: %d\n",FullImageName->Buffer,ProcessId);
      DbgPrint("ImageBase: %x,ImageSize: %d\n",ImageInfo->ImageBase,ImageInfo->ImageSize);

 }



操作系统 进程/线程
Frank的博客
09-28 384
一、概述进程线程的概念不多做介绍。进程的唯一标识是PCB进程控制块。 PCB含有三大信息: 1进程标识信息 2处理机状态信息(寄存器) 3进程控制信息。 线程也对应的有TCB线程控制块,进程有用户态和核心态二、进程的生命周期进程创建 运行 等待 唤醒 结束 进程创建:系统初始化时 用户创建 一个进程进程创建另一个。 进程等待:一般是自己阻塞自己,因为
JAVA并发编程-线程间协作(Object监视器方法与Condition)
在路上
02-29 6108
JAVA并发编程第一篇     说到线程间协作,不得不提到经典的生产者与消费者模型:有一个商品队列,生产者想队列中添加商品,消费者取出队列中的商品;显然,如果队列为空,消费者应该等待生产者产生商品才能消费;如果队列满了,生产者需要等待消费者消费之后才能生产商品。队列就是这个模型中的临界资源,当队列为空时,而消费者获得了该对象的锁,如果不释放,那么生产者无法获得对象锁,而消费者无法消费对象
线程监视器
08-24
好用的线程监视器
java 线程监视器
清澈见底的专栏
01-10 582
实现Windows系统进程/线程监控工具
"这篇文章主要介绍了如何编写进程/线程监视器,作者是sinister,文章内容涉及Windows系统下的内核编程,通过使用NTDRIVER来实现对系统中进程线程创建的监控。作者提到了两个关键的系统API函数:...
安全稳定的实现进线程监控.zip_MyCopyHook.rar_create process_sys文件_监视 进程_驱动进程
09-24
用PsSetCreateProcessNotifyRoutine,PsSetCreateThreadNotifyRoutine来进行进程线程监控我想大家已经都非常熟练了.sinister在编写进程/线程监视器>>一文中已经实现得很好了.前一段时间看到网上有人在研究监视远线程...
简单的VB进程监视器
05-07
这个"简单的进程监视器"通过VB编写,展示了如何使用VB的API函数或.NET Framework的System.Diagnostics命名空间来获取和显示系统中的进程信息。API函数,如`CreateToolhelp32Snapshot`, `Process32First`, 和 `...
精选_枚举并删除系统上PsSetCreateThreadNotifyRoutine回调_源码打包
03-11
枚举并删除系统上PsSetCreateThreadNotifyRoutine回调
线程任务监视器
最新发布
纯洁的小魔鬼
04-03 1103
本文介绍了Java线程池任务超时控制的几种实现方案。首先分析了线程池中任务阻塞导致线程无法释放的问题,提出通过设置最大执行时长来强制终止超时任务。然后详细比较了三种实现方式:1)在子线程中再创建线程并利用join()方法监控;2)使用ScheduledExecutorService定时检查任务状态;3)结合CompletableFuture和ScheduledExecutorService实现更精确的监控。重点阐述了第三种方案的工作原理:通过CompletableFuture作为监控器,当任务正常完成或异常
java监视器的用处_java 线程监视器与互斥概念、以及监视器作用的几个范围 | 学步园...
weixin_26763955的博客
02-24 620
线程监视器,即线程所持有的锁,也就是synchronized所关联的对象。线程的互斥,即同一数据的访问,为了访问数据的同步,维护数据的原子性。线程的互斥 由线程监视器机制来实现。下面举例几种监视器:1.作用域成员变量:class ViewData {private Object lock=new Object();public void viewData(String data){Synchr...
在VS2008中配置WDK7600驱动开发环境
Koma的主页
02-02 7183
网上这类资料多如牛毛,也许很多人都是转来转去,却很有人去真正的测试,有时候感觉确实对他人也是一种误导。 这里是我自己在VS2008 + WDK7600.16385.0 + DDKWizard配置自己的IDE开发环境的设置过程: 1、首先安装DDKWizard 官方网页:http://ddkwizard.assarbad.net/ 从官方网页下载这三个
(转载)安全稳定的实现进线程监控
Kendiv's Box
03-26 5317
安全稳定的实现进线程监控创建时间:2005-03-24文章属性:原创文章提交:suei8423 (suei8423_at_163.com)安全稳定的实现进线程监控作者:ZwelL    用PsSetCreateProcessNotifyRoutine,PsSetCreateThreadNotifyRoutine来进行进程线程监控我想大家已经都非常熟练了.sinister在>一文中已经实现得很好了.
PsSetLoadImageNotifyRoutine loadImageNotifyRoutine 中拿全路径
编程论坛
06-19 1198
PsSetLoadImageNotifyRoutine#include &lt;ntifs.h&gt;#include &lt;ntddk.h&gt;#include &lt;Ntstrsafe.h&gt;#include &lt;fltKernel.h&gt;//删除指针#define SafeFreeDelete(pData) { if(pData){ExFreePool(pData);pDa...
7.3 Windows驱动开发:内核监视LoadImage映像回调
热门推荐
优快云
12-01 1万+
PsSetLoadImageNotifyRoutine和PsRemoveLoadImageNotifyRoutine是Windows操作系统提供的两个内核API函数,用于注册和取消注册LoadImage映像的回调函数。 LoadImage映像回调函数是一种内核回调函数,它可以用于监视和拦截系统中的模块加载事件,例如进程启动时加载的DLL、驱动程序等。当有新的模块被加载时,操作系统会调用注册的LoadImage映像回调函数,并将加载模块的相关信息传递给回调函数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值