3
我開發了一個能夠監視進程執行情況的Windows XP驅動程序。在NT驅動程序中攔截進程執行
回調函數使用標準的WDK API(PsSetCreateProcessNotifyRoutine)接收通知。
司機然後決定是否應授權過程;如果沒有,它必須阻止它的執行/殺死它。
以這種方式攔截執行的最簡潔的方法是什麼?如果沒有記錄,我不介意,但如果可能的話,我寧願不要求助於掛鉤。
A
回答
1
確定,根據該文件:
我需要安裝一個微過濾器對IRP_MJ_ACQUIRE_FOR_SECTION_SYNCHRONIZATION和檢查PageProtection == PAGE_EXECUTE。
1
PsSetCreateProcessNotifyRoutineEx(Vista +)將允許您通過將CreateInfo-> CreationStatus成員更改爲NTSTATUS錯誤代碼來導致進程創建操作失敗。
相關問題
- 1. 攔截進程執行
- 2. 如何攔截和替換jdbc驅動程序中的SQL?
- 3. Node.js攔截進程.exit
- 4. ndis過濾器驅動程序是否屬於NT驅動程序或WDM驅動程序?
- 5. 在DLL注入後攔截BIG應用程序執行
- 6. Java程序攔截端口?
- 7. java.lang.IllegalStateException:驅動程序可執行文件不存在chrome驅動程序
- 8. Spring MVC攔截器不會執行資源處理程序URL
- 9. 該驅動程序不可執行Chromedriver
- 10. Autofac攔截異步執行順序
- 11. TD攔截方程
- 12. 攔截對golang進程的響應
- 13. OS-X Linux攔截進程調用
- 14. Spark執行器,驅動程序,執行程序核心,執行程序內存的值
- 15. 在MVC應用程序框架中使用攔截器還是不攔截器?
- 16. 模型驅動攔截器不工作
- 17. 從驅動程序創建進程
- 18. NT上的非HID鼠標驅動程序
- 19. 相當於Mongo執行的PHP MongoDB驅動程序執行
- 20. delphi應用程序和Windows NT系統驅動程序之間的通信
- 21. 如何攔截驅動程序上累加器的部分更新?
- 22. 如何攔截窗口到Windows驅動程序級別的更新?
- 23. 在java中的Web驅動程序和Tor執行
- 24. 如何在用戶模式應用程序中執行驅動程序功能?
- 25. 在啓動過程中執行驅動程序初始化後的操作
- 26. BIRT - 驅動程序不顯示在管理驅動程序中
- 27. 如何攔截子進程的父進程
- 28. 確定執行用戶的NT組的Java進程
- 29. 在MongoDB C#驅動程序中使用AsQueryable進行投影2.2
Vista RTM不支持PsSetCreateProcessNotifyRoutineEx(升級到SP1) – unixman83 2011-09-18 16:57:14