偶的监控程序PRMonitor 源代码(ddk+sdk)

楼主^#

更多发布于：2007-11-17 21:41

最近很多人对实时监控的程序感兴趣,而且zjjmj2002大侠也放了一个出来,我也把我的代码放出来...
通过ssdt hook实现对进程创建,注册表修改和内核模块加载的监控...
hook 了ZwCreateProcess 其实很多方法不用调用ZwCreateProcess而创建进程更好的办法是再hook
NtCreateSection 我懒得改了具体参考codeproject上的文章Hooking the native API and controlling process creation on a system-wide basis
注册表监控就是hook了ZwSetValueKey 没什么说的
内核监控仅仅 hook了ZwLoadDriver 其它进入ring0的方法没有监控........
现在只能算是一个Demo 骗骗观众罢了
等有时间再完善

其实写这类的程序关键是封了进入ring0的方法守住ring0这块高地其它的什么都不怕.......

附件名称/大小下载次数最后更新: PRMonitor.rar (74KB) 1564 2007-11-17 21:41

喜欢4

最新喜欢：

zhdmzj...

asdfsl...

lipeng...

eleqi 驱动小牛注册日期2005-12-20 最后登录2014-01-03 粉丝4 关注2 积分172分威望1475点贡献值0点好评度115点原创分0分专家分0分加关注写私信	沙发^# 发布于：2011-05-12 01:08 可惜，也是下不了了
	回复(0) 喜欢(0)

jiuxiaotian 驱动牛犊注册日期2010-03-17 最后登录2010-04-06 粉丝0 关注0 积分1分威望11点贡献值0点好评度0点原创分0分专家分0分加关注写私信	板凳^# 发布于：2010-04-06 12:13 学习中……
	回复(0) 喜欢(0)

zfg88287508 驱动牛犊注册日期2009-03-06 最后登录2010-02-11 粉丝0 关注0 积分2分威望21点贡献值0点好评度0点原创分0分专家分0分加关注写私信	地板^# 发布于：2010-02-11 22:07 学习看看
	回复(0) 喜欢(0)

prograin 驱动牛犊注册日期2007-07-05 最后登录2011-03-23 粉丝0 关注0 积分20分威望204点贡献值0点好评度3点原创分0分专家分0分加关注写私信	地下室^# 发布于：2009-10-07 15:29 不错不错，赞一个！
	回复(0) 喜欢(0)

mixia 驱动牛犊注册日期2009-06-18 最后登录2009-08-10 粉丝0 关注0 积分18分威望151点贡献值0点好评度0点原创分0分专家分0分加关注写私信	5楼^# 发布于：2009-07-25 14:40 谢谢,向你学习
	回复(0) 喜欢(0)

pc12345 驱动牛犊注册日期2005-10-05 最后登录2009-06-18 粉丝0 关注0 积分4分威望31点贡献值0点好评度0点原创分0分专家分0分加关注写私信	6楼^# 发布于：2009-06-10 04:18 老大，禁止程序运行时，会出现"句柄无效",能不能不让他显示这一信息？禁止任务管理器运行，就不会出现这句话了
	回复(0) 喜欢(0)

reddevil

驱动牛犊

注册日期2009-03-10
最后登录2013-02-06
粉丝0
关注0
积分14分
威望91点
贡献值0点
好评度0点
原创分0分
专家分0分

加关注写私信

7楼^#

发布于：2009-03-22 20:39

thank you!

路漫漫其修远兮，吾将上下而求所。

回复喜欢

linkyang 驱动牛犊注册日期2008-03-06 最后登录2010-01-23 粉丝0 关注0 积分41分威望402点贡献值0点好评度0点原创分0分专家分0分加关注写私信	8楼^# 发布于：2009-03-10 15:59 学习啦！
	回复(0) 喜欢(0)

kakaja 驱动牛犊注册日期2009-03-10 最后登录2009-03-11 粉丝0 关注0 积分5分威望51点贡献值0点好评度0点原创分0分专家分0分加关注写私信	9楼^# 发布于：2009-03-10 15:16 精神可嘉，赞一个
	回复(0) 喜欢(0)

bainanrain 驱动牛犊注册日期2008-05-06 最后登录2009-12-25 粉丝1 关注0 积分11分威望48点贡献值0点好评度0点原创分0分专家分0分加关注写私信	10楼^# 发布于：2009-03-01 14:48 P？R？是监控进程和注册表的吗？
	回复(0) 喜欢(0)

linkyang 驱动牛犊注册日期2008-03-06 最后登录2010-01-23 粉丝0 关注0 积分41分威望402点贡献值0点好评度0点原创分0分专家分0分加关注写私信	11楼^# 发布于：2008-12-24 09:19 顶了
	回复(0) 喜欢(0)

feica 驱动牛犊注册日期2008-07-17 最后登录2009-02-05 粉丝0 关注0 积分3分威望22点贡献值0点好评度0点原创分0分专家分0分加关注写私信	12楼^# 发布于：2008-12-14 22:40 谢谢呀
	回复(0) 喜欢(0)

reebox 驱动牛犊注册日期2007-11-20 最后登录2009-11-10 粉丝0 关注0 积分5分威望54点贡献值0点好评度21点原创分0分专家分0分加关注写私信	13楼^# 发布于：2008-12-03 10:49 谢谢，赞一个！
	回复(0) 喜欢(0)

zengxn 驱动牛犊注册日期2007-03-15 最后登录2013-05-05 粉丝0 关注0 积分0分威望13点贡献值0点好评度1点原创分0分专家分0分加关注写私信	14楼^# 发布于：2008-10-28 10:33 支持！顶一个支持！顶一个
	回复(0) 喜欢(0)

liubingonline 驱动牛犊注册日期2008-05-13 最后登录2008-10-08 粉丝0 关注0 积分1分威望2点贡献值0点好评度0点原创分0分专家分0分加关注写私信	15楼^# 发布于：2008-10-06 11:17 怎么现在的监控程序代码似乎都是HOOK系统内核的函数啊，有没有其它的方法呢？
	回复(0) 喜欢(0)

zhouyan 驱动牛犊注册日期2007-05-10 最后登录2010-07-21 粉丝0 关注0 积分5分威望47点贡献值0点好评度7点原创分0分专家分0分加关注写私信	16楼^# 发布于：2008-10-04 21:27 在win xp sp2机器上打开网络共享中的程序监控不到而且会出现重启的问题哈哈
	回复(0) 喜欢(0)

chinapop 驱动牛犊注册日期2008-06-06 最后登录2010-03-30 粉丝0 关注0 积分5分威望7点贡献值0点好评度1点原创分0分专家分0分加关注写私信	17楼^# 发布于：2008-10-03 09:33 学习~~~
	回复(0) 喜欢(0)

class 驱动牛犊注册日期2008-08-09 最后登录2010-04-18 粉丝0 关注0 积分4分威望14点贡献值0点好评度0点原创分0分专家分0分加关注写私信	18楼^# 发布于：2008-09-12 10:07 看看
	回复(0) 喜欢(0)

super_kevin

驱动牛犊

注册日期2008-08-03
最后登录2009-05-20
粉丝0
关注0
积分2分
威望22点
贡献值0点
好评度0点
原创分0分
专家分0分

加关注写私信

19楼^#

发布于：2008-08-04 02:12

支持！支持！

一切皆有可能！

回复喜欢

您需要登录后才可以回帖，登录或者注册