关于ZwOpenProcess

楼主^#

更多发布于：2007-08-29 15:22

我的NewZwOpenProcess函数如下：
NTSTATUS NewZwOpenProcess(PHANDLE ProcessHandle,ACCESS_MASK DesiredAccess,POBJECT_ATTRIBUTES ObjectAttributes,PCLIENT_ID ClientId)
{
  int cid_valid=func_is_good_read_ptr(ClientId,sizeof(CLIENT_ID));
  if (cid_valid)
  {
   DbgMsg("hooked_proc.cpp: NewZwOpenProcess: ClientId->UniqueProcess=0x%.8X",ClientId->UniqueProcess);
   }

  NTSTATUS status;
  char* processname=GetProcessNameU(); //获取当前进程名

  int protect=cid_valid?func_check_process_protection((ULONG)ClientId->UniqueProcess,(char *)processname):FALSE; //检查是否是要拒绝的进程
  ULONG pid=(ULONG)PsGetCurrentProcessId();

  if (!protect) status=OldZwOpenProcess(ProcessHandle,DesiredAccess,ObjectAttributes,ClientId);
  else
  {
   status=STATUS_ACCESS_DENIED;
   ZwClose(*ProcessHandle);
   DbgMsg("hooked_proc.cpp: NewZwOpenProcess(-):STATUS_ACCESS_DENIED");
  }

  return status;
}

喜欢0

zw10435 驱动牛犊注册日期2007-07-31 最后登录2007-08-30 粉丝0 关注0 积分170分威望18点贡献值0点好评度17点原创分0分专家分0分加关注写私信	沙发^# 发布于：2007-08-29 15:23 进程名已经判断出来了,并返回了STATUS_ACCESS_DENIED 但进程还是打开了
	回复(0) 喜欢(0)

zw10435 驱动牛犊注册日期2007-07-31 最后登录2007-08-30 粉丝0 关注0 积分170分威望18点贡献值0点好评度17点原创分0分专家分0分加关注写私信	板凳^# 发布于：2007-08-29 15:24 我想拒绝进程打开,要怎么做?
	回复(0) 喜欢(0)

talk2u 驱动牛犊注册日期2007-08-29 最后登录2007-08-29 粉丝0 关注0 积分10分威望2点贡献值0点好评度1点原创分0分专家分0分加关注写私信	地板^# 发布于：2007-08-29 16:34 问一个问题:在驱动程序里面可以调用平常一般的Win32 API函数吗?
	回复(0) 喜欢(0)

zw10435 驱动牛犊注册日期2007-07-31 最后登录2007-08-30 粉丝0 关注0 积分170分威望18点贡献值0点好评度17点原创分0分专家分0分加关注写私信	地下室^# 发布于：2007-08-29 17:17 NewZwOpenSection和NewZwOpenFile都能拒绝,ZwOpenProcess怎么关掉进程啊
	回复(0) 喜欢(0)

ks12345

驱动小牛

注册日期2006-09-21
最后登录2016-01-09
粉丝0
关注0
积分7分
威望223点
贡献值0点
好评度189点
原创分0分
专家分0分

加关注写私信

5楼^#

发布于：2007-08-31 10:35

怎么会不行呢，我的可以阻止打开。。。。。。
难道你的程序逻辑有问题？！匹配条件？

Thinking

回复喜欢

您需要登录后才可以回帖，登录或者注册

关于ZwOpenProcess

最新喜欢：