首页>编程与逆向>内核编程>关于如何获得windows下进程创建和中止的消息
回复
« 返回列表
ttzwater
ttzwater
驱动小牛
驱动小牛
  • 注册日期2003-06-07
  • 最后登录2011-10-04
  • 粉丝0
  • 关注0
  • 积分1分
  • 威望23点
  • 贡献值0点
  • 好评度22点
  • 原创分0分
  • 专家分0分
写私信
阅读:1540回复:4

关于如何获得windows下进程创建和中止的消息

楼主#
更多 发布于:2004-05-13 11:40
windows创建和杀死一个进程,会发出一些系统消息来通知系统的,我现在想收集这些消息,请问各位有什么好的方法吗?

procexp好像就是用这个原理做的
喜欢0
回复
Netguy
Netguy
驱动牛犊
驱动牛犊
  • 注册日期2001-04-02
  • 最后登录2012-05-25
  • 粉丝0
  • 关注0
  • 积分2分
  • 威望17点
  • 贡献值0点
  • 好评度6点
  • 原创分0分
  • 专家分0分
写私信
沙发#
发布于:2004-05-13 14:54
PsSetCreateProcessNotifyRoutine
回复(0) 喜欢(0)
poweruser
poweruser
驱动老牛
驱动老牛
  • 注册日期2003-02-26
  • 最后登录2008-07-18
  • 粉丝0
  • 关注0
  • 积分652分
  • 威望72点
  • 贡献值0点
  • 好评度64点
  • 原创分0分
  • 专家分0分
写私信
板凳#
发布于:2004-05-13 16:24
或者做个API HOOK
截获CreateProcess和TerminateProcess等API

不过楼上的说的这个函数看起来比hook要好一些,偶没有用过这个
老虎不发威,你当我是Hello Kitty!
回复(0) 喜欢(0)
ttzwater
ttzwater
驱动小牛
驱动小牛
  • 注册日期2003-06-07
  • 最后登录2011-10-04
  • 粉丝0
  • 关注0
  • 积分1分
  • 威望23点
  • 贡献值0点
  • 好评度22点
  • 原创分0分
  • 专家分0分
写私信
地板#
发布于:2004-05-16 23:24
API HOOK

好像HOOK 不到CreateProcess吧,我试过好像不行
回复(0) 喜欢(0)
rock1001
rock1001
驱动牛犊
驱动牛犊
  • 注册日期2002-11-12
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分0分
  • 威望0点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
地下室#
发布于:2004-05-19 08:56
你说的procxp是指Process Explorer(http://www.sysinternals.com/ntw2k/freeware/procexp.shtml)这个吧,他好像用的定时刷新,我看他里面有个设置刷新间隔。

PsSetCreateProcessNotifyRoutine这个函数要ring0级别的才能用,应为是从ntoskrnl.exe引出的。
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部