阅读:10931回复:46
偶的监控程序PRMonitor 源代码(ddk+sdk)
最近很多人对实时监控的程序感兴趣,而且zjjmj2002大侠也放了一个出来,我也把我的代码放出来...
通过ssdt hook实现 对进程创建,注册表修改和内核模块加载的监控... hook 了ZwCreateProcess 其实很多方法不用调用ZwCreateProcess而创建进程 更好的办法是再hook NtCreateSection 我懒得改了 具体参考codeproject上的文章Hooking the native API and controlling process creation on a system-wide basis 注册表监控就是hook了ZwSetValueKey 没什么说的 内核监控仅仅 hook了ZwLoadDriver 其它进入ring0的方法没有监控........ 现在只能算是一个Demo 骗骗观众罢了 等有时间再完善 其实 写这类的程序关键是封了进入ring0的方法 守住ring0这块高地 其它的什么都不怕....... |
|
|
沙发#
发布于:2007-11-17 22:44
学习~~~
|
|
板凳#
发布于:2007-11-17 22:51
LZ还可以啦~我顶你~
|
|
|
地板#
发布于:2007-11-18 11:22
学习!
|
|
地下室#
发布于:2007-11-19 09:33
学习 谢谢!
|
|
|
5楼#
发布于:2007-11-19 09:41
很好,赞一个先。
|
|
6楼#
发布于:2007-11-21 00:11
天蓝蓝
|
|
7楼#
发布于:2007-11-23 11:38
好东西,要顶一目
|
|
8楼#
发布于:2007-11-23 20:16
学习 谢谢
|
|
9楼#
发布于:2007-11-26 10:50
支持,不知道vista64下,好用不,
等晚上回家测试一下. |
|
驱动小牛
|
10楼#
发布于:2007-11-27 14:44
不顶没良心.
|
驱动小牛
|
11楼#
发布于:2007-11-27 15:31
//小弟不才,是为了给驱动传送CreateProcess的地址?
DWORD * addr=(DWORD *)(1+(DWORD)GetProcAddress(GetModuleHandle("ntdll.dll"),"NtCreateProcess")); //这个是清零 ZeroMemory(outputbuff,256); //??小弟不才,没看懂这句的意思?是为了给驱动传送CreateProcess的地址? //看驱动中是得到了CreateProcessEx的地址,这个是不是没用的语句? controlbuff[0]=addr[0]; //下面这句是从4字节后设置成共享内存并发给驱动 controlbuff[1]=xxxx; |
12楼#
发布于:2007-11-28 11:43
很棒,学习了
|
|
13楼#
发布于:2007-11-29 08:47
在禁止了进程运行后,会弹出“不是有效句柄”的错误?请问怎么把这个消息屏蔽掉?
|
|
14楼#
发布于:2007-12-11 18:36
共同学习
一起进步 |
|
15楼#
发布于:2007-12-19 21:21
下来看看学习一下。谢谢
|
|
16楼#
发布于:2008-01-08 16:45
和大家一样,顶你一下
|
|
|
17楼#
发布于:2008-01-16 15:17
学习了,非常感谢!!!
|
|
18楼#
发布于:2008-02-24 12:14
正在学习,谢了
|
|
19楼#
发布于:2008-04-01 10:49
|
|
上一页
下一页