windows 64位系統非HOOK方式監控進程創建

阿新 • • 發佈：2017-10-03

mman log syntax typedef pan set parameter logs hand

以下內容參考黑客防線2012合訂本354頁

MSDN 原話:

The PsSetCreateProcessNotifyRoutineEx routine registers or removes a callback routine that notifies the caller when a process is created or exits.

NTSTATUS
PsSetCreateProcessNotifyRoutineEx(
IN PCREATE_PROCESS_NOTIFY_ROUTINE_EX NotifyRoutine,
IN BOOLEAN Remove

);

可以通過這個函數註冊一個回調函數監控進程創建. 比hook方便很多.

對於CreateProcessNotifyEx:

VOID
  CreateProcessNotifyEx(
    __inout PEPROCESS  Process,
    __in HANDLE  ProcessId,
    __in_opt PPS_CREATE_NOTIFY_INFO  CreateInfo
    );

其中CreateInfo是

If this parameter is non-NULL, a new process is being created, and CreateInfo

points to a PS_CREATE_NOTIFY_INFO structure that describes the new process. If this parameter is NULL, the specified process is exiting.

空的時候表示進程退出, 非空時表示進程創建.並且裏面:

typedef struct _PS_CREATE_NOTIFY_INFO {
  __in SIZE_T  Size;
  union {
    __in ULONG  Flags;
    struct {
      __in ULONG  FileOpenNameAvailable :  
1;
      __in ULONG  Reserved : 31;
    };
  };
  __in HANDLE  ParentProcessId;  //創建者pid
  __in CLIENT_ID  CreatingThreadId;
  __inout struct _FILE_OBJECT  *FileObject;
  __in PCUNICODE_STRING  ImageFileName;//被創建進程完整路徑
  __in_opt PCUNICODE_STRING  CommandLine;
  __inout NTSTATUS  CreationStatus;  //修改為錯誤的status禁止創建進程
} PS_CREATE_NOTIFY_INFO, *PPS_CREATE_NOTIFY_INFO;

測試結果:

技術分享

附上大佬的代碼 (自己加了一些註釋):

//下面2個函數聲明後就能用
NTKERNELAPI PCHAR PsGetProcessImageFileName(PEPROCESS Process);
NTKERNELAPI NTSTATUS PsLookupProcessByProcessId(HANDLE ProcessId, PEPROCESS *Process);

PCHAR GetProcessNameByProcessId(HANDLE ProcessId)
{
    NTSTATUS st = STATUS_UNSUCCESSFUL;
    PEPROCESS ProcessObj = NULL;
    PCHAR string = NULL;
    st = PsLookupProcessByProcessId(ProcessId, &ProcessObj);
    if (NT_SUCCESS(st))
    {
        string = PsGetProcessImageFileName(ProcessObj);
        ObfDereferenceObject(ProcessObj);
    }
    return string;
}

VOID
NotifyCreateProcess(
    __inout PEPROCESS Process,//如果是創建(退出),則是被創建(退出)進程的exe名(不包括完整路徑)
    __in HANDLE ProcessId,//如果是創建(退出)進程,則是被創建(退出)進程的pid
    __in_opt PPS_CREATE_NOTIFY_INFO CreateInfo//如果是創建進程,則裏面包含被創建進程完整路徑名
)
{

    if (CreateInfo)
    {
    //    DbgPrint("param ProcessId is %d\n", ProcessId); //被創建進程id
    //    DbgPrint("param Process is %s\n", PsGetProcessImageFileName(Process));
        DbgPrint("%s of who the pid is %d create process %wZ\n",
            GetProcessNameByProcessId(CreateInfo->ParentProcessId),
            CreateInfo->ParentProcessId,
            CreateInfo->ImageFileName);
        if (_stricmp("calc.exe", PsGetProcessImageFileName(Process)) == 0)
        {
            DbgPrint("forbidding start calc.exe!\n");
            CreateInfo->CreationStatus = STATUS_ACCESS_DENIED;
        }

    }
    else
    {
        DbgPrint("process %s exit\n", PsGetProcessImageFileName(Process));
    }
}

windows 64位系統非HOOK方式監控進程創建

mman log syntax typedef pan set parameter logs hand 以下內容參考黑客防線2012合訂本354頁 MSDN 原話: The PsSetCreateProcessNotifyRoutineEx routine regist

windows 64位系統非HOOK方式監控進程創建

windows 64位系統非HOOK方式監控進程創建

針對Windows 64位系統中Matlab沒有LED Control Activex控件的解決方法

Windows 64 位系統下 Python 環境的搭建

Loadrunner 11.00相容Windows 64位系統

Windows 64 位系統下安裝配置 DOSBox 及 debug.exe

qt windows 64位系統連結MySql 解決方法，親測可用

Windows 64位系統中安裝Android SDK“系統找不到指定的檔案Java.exe”解決方法

【轉】 windows進程創建事件日誌

windows 32/64位系統下MATLAB使用MEX方式呼叫C/C++原始碼

安裝win7 64位系統時發生錯誤：File: \windows\system32\winload.efi

Windows Server 2012 64位系統下安裝講解 tomcat 環境安裝

python相關軟件安裝流程圖解——MySQL 8.0.13安裝教程(windows 64位)——MYSQL依賴的軟件——MYSQL必須的系統DLL插件——MYSQL真正的安裝

Ubuntu14.04的64位系統啟動 root 賬號登入方式

關於Windows 7 64位系統 HP M1319f 印表機無法掃描的解決辦法

系統技術非業餘研究 » dets在64位系統還是有可恥的2G限制

Windows 7 64位系統上搭建Hadoop偽分散式環境（很詳細）

Windows 64位作業系統安裝mysql 綠色版 mysql安裝常見問題（系統找不到指定的檔案、發生系統錯誤 1067 程序意外終止）

Windows server 2008 64位系統無法連線 Access 資料庫

在windows server2008 64位系統中安裝oracle11g 64位檢查時出錯

32位系統和64位系統的選擇

windows 64位 系統非HOOK方式監控進程創建

相關推薦

windows 64位系統非HOOK方式監控進程創建