x-star

驱动小牛

注册日期2007-04-26
最后登录2018-11-17
粉丝0
关注0
积分65分
威望664点
贡献值1点
好评度39点
原创分1分
专家分1分

加关注写私信

阅读：10928回复：46

偶的监控程序PRMonitor 源代码(ddk+sdk)

楼主^#

更多发布于：2007-11-17 21:41

最近很多人对实时监控的程序感兴趣,而且zjjmj2002大侠也放了一个出来,我也把我的代码放出来...
通过ssdt hook实现对进程创建,注册表修改和内核模块加载的监控...
hook 了ZwCreateProcess 其实很多方法不用调用ZwCreateProcess而创建进程更好的办法是再hook
NtCreateSection 我懒得改了具体参考codeproject上的文章Hooking the native API and controlling process creation on a system-wide basis
注册表监控就是hook了ZwSetValueKey 没什么说的
内核监控仅仅 hook了ZwLoadDriver 其它进入ring0的方法没有监控........
现在只能算是一个Demo 骗骗观众罢了
等有时间再完善

其实写这类的程序关键是封了进入ring0的方法守住ring0这块高地其它的什么都不怕.......

附件名称/大小下载次数最后更新: PRMonitor.rar (74KB) 1564 2007-11-17 21:41

喜欢4

最新喜欢：

zhdmzj...

asdfsl...

lipeng...

sudami 驱动牛犊注册日期2007-03-01 最后登录2010-03-05 粉丝0 关注0 积分4分威望30点贡献值0点好评度16点原创分0分专家分0分加关注写私信	沙发^# 发布于：2007-11-17 22:44 学习~~~
	回复(0) 喜欢(0)

killvxk

论坛版主

注册日期2005-10-03
最后登录2014-04-14
粉丝3
关注1
积分1082分
威望2003点
贡献值0点
好评度1693点
原创分2分
专家分0分

加关注写私信

板凳^#

发布于：2007-11-17 22:51

LZ还可以啦～我顶你～

没有战争就没有进步 X3工作组为您提供最好的军火

回复喜欢

codez 驱动牛犊注册日期2005-06-20 最后登录2016-01-09 粉丝0 关注0 积分7分威望73点贡献值0点好评度49点原创分0分专家分0分加关注写私信	地板^# 发布于：2007-11-18 11:22 学习!
	回复(0) 喜欢(0)

ranwei1025

驱动牛犊

注册日期2007-08-24
最后登录2017-04-13
粉丝0
关注0
积分3分
威望10点
贡献值0点
好评度6点
原创分0分
专家分0分

加关注写私信

地下室^#

发布于：2007-11-19 09:33

学习谢谢！

驱网无线，快乐无限

回复喜欢

zjjmj2002 驱动小牛注册日期2007-04-05 最后登录2016-01-09 粉丝0 关注0 积分15分威望321点贡献值0点好评度224点原创分1分专家分0分加关注写私信	5楼^# 发布于：2007-11-19 09:41 很好，赞一个先。
	回复(0) 喜欢(0)

symbol 驱动牛犊注册日期2003-05-20 最后登录2010-05-25 粉丝0 关注0 积分1分威望3点贡献值0点好评度2点原创分0分专家分0分加关注写私信	6楼^# 发布于：2007-11-21 00:11 天蓝蓝
	回复(0) 喜欢(0)

MorrisZhang 驱动牛犊注册日期2004-08-26 最后登录2014-01-17 粉丝0 关注0 积分-8分威望15点贡献值0点好评度5点原创分0分专家分0分加关注写私信	7楼^# 发布于：2007-11-23 11:38 好东西，要顶一目
	回复(0) 喜欢(0)

yueguo 驱动牛犊注册日期2007-11-23 最后登录2010-08-17 粉丝0 关注0 积分0分威望3点贡献值0点好评度2点原创分0分专家分0分加关注写私信	8楼^# 发布于：2007-11-23 20:16 学习谢谢
	回复(0) 喜欢(0)

carlkwan 驱动牛犊注册日期2007-07-29 最后登录2010-01-11 粉丝0 关注0 积分5分威望36点贡献值0点好评度22点原创分0分专家分0分加关注写私信	9楼^# 发布于：2007-11-26 10:50 支持，不知道vista64下，好用不，等晚上回家测试一下.
	回复(0) 喜欢(0)

wangjianfeng 驱动小牛注册日期2004-05-28 最后登录2013-10-02 粉丝0 关注0 积分1002分威望263点贡献值0点好评度260点原创分0分专家分0分加关注写私信	10楼^# 发布于：2007-11-27 14:44 不顶没良心.
	回复(0) 喜欢(0)

wangjianfeng

驱动小牛

注册日期2004-05-28
最后登录2013-10-02
粉丝0
关注0
积分1002分
威望263点
贡献值0点
好评度260点
原创分0分
专家分0分

加关注写私信

11楼^#

发布于：2007-11-27 15:31

//小弟不才,是为了给驱动传送CreateProcess的地址?

DWORD * addr=(DWORD *)(1+(DWORD)GetProcAddress(GetModuleHandle("ntdll.dll"),"NtCreateProcess"));

//这个是清零
   ZeroMemory(outputbuff,256);

//??小弟不才,没看懂这句的意思?是为了给驱动传送CreateProcess的地址?
//看驱动中是得到了CreateProcessEx的地址,这个是不是没用的语句?

   controlbuff[0]=addr[0];

//下面这句是从4字节后设置成共享内存并发给驱动

   controlbuff[1]=xxxx;

回复喜欢

zjg1979 驱动牛犊注册日期2006-09-21 最后登录2012-05-18 粉丝0 关注0 积分5分威望100点贡献值0点好评度49点原创分2分专家分0分加关注写私信	12楼^# 发布于：2007-11-28 11:43 很棒,学习了
	回复(0) 喜欢(0)

sislcb 驱动牛犊注册日期2006-07-09 最后登录2008-09-19 粉丝0 关注0 积分1分威望24点贡献值0点好评度22点原创分0分专家分0分加关注写私信	13楼^# 发布于：2007-11-29 08:47 在禁止了进程运行后，会弹出“不是有效句柄”的错误？请问怎么把这个消息屏蔽掉?
	回复(0) 喜欢(0)

haoran007 驱动牛犊注册日期2007-08-06 最后登录2009-03-02 粉丝0 关注0 积分2分威望7点贡献值0点好评度4点原创分0分专家分0分加关注写私信	14楼^# 发布于：2007-12-11 18:36 共同学习一起进步
	回复(0) 喜欢(0)

cuizhany 驱动牛犊注册日期2007-12-19 最后登录2007-12-27 粉丝0 关注0 积分10分威望2点贡献值0点好评度1点原创分0分专家分0分加关注写私信	15楼^# 发布于：2007-12-19 21:21 下来看看学习一下。谢谢
	回复(0) 喜欢(0)

ENJOYKAKA

驱动牛犊

注册日期2006-10-30
最后登录2008-06-25
粉丝0
关注0
积分140分
威望16点
贡献值0点
好评度15点
原创分0分
专家分0分

加关注写私信

16楼^#

发布于：2008-01-08 16:45

和大家一样，顶你一下

驱网无线，快乐无限

回复喜欢

taxueliuyun 驱动牛犊注册日期2008-01-05 最后登录2011-05-27 粉丝0 关注0 积分0分威望14点贡献值0点好评度13点原创分0分专家分0分加关注写私信	17楼^# 发布于：2008-01-16 15:17 学习了，非常感谢！！！
	回复(0) 喜欢(0)

abcd0106 驱动牛犊注册日期2007-02-21 最后登录2009-01-05 粉丝0 关注0 积分211分威望32点贡献值0点好评度21点原创分0分专家分0分加关注写私信	18楼^# 发布于：2008-02-24 12:14 正在学习，谢了
	回复(0) 喜欢(0)

xiangfly 驱动牛犊注册日期2008-03-26 最后登录2010-12-05 粉丝0 关注0 积分10分威望10点贡献值0点好评度9点原创分0分专家分0分加关注写私信	19楼^# 发布于：2008-04-01 10:49
	回复(0) 喜欢(0)

您需要登录后才可以回帖，登录或者注册