內核進程監控框架

原創 Cosmop01itan 2020-06-29 12:19 
//win7 x64下測試通過:
#include <ntifs.h>
#include <ntddk.h>

VOID UnloadDriver(PDRIVER_OBJECT pDriver);

VOID
CreateProcessRoutineSpy(
IN HANDLE  ParentId,
IN HANDLE  ProcessId,
IN BOOLEAN  Create
);

typedef PPEB(__fastcall *P_PsGetProcessPeb)(PEPROCESS);
typedef CHAR*(__fastcall *F_QueryProcessImageFileName)(PEPROCESS);
P_PsGetProcessPeb PsGetProcessPeb = NULL;
F_QueryProcessImageFileName QueryProcessImageFileName = NULL;


NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING Registry)
{
	NTSTATUS status = STATUS_SUCCESS;
	UNICODE_STRING unstrFunName;
	UNREFERENCED_PARAMETER(pDriver);
	UNREFERENCED_PARAMETER(Registry);
	KdPrint(("[SysTest] DriverEntry Loading.\n"));

	RtlInitUnicodeString(&unstrFunName, L"PsGetProcessPeb");
	PsGetProcessPeb = MmGetSystemRoutineAddress(&unstrFunName);
	if (PsGetProcessPeb == NULL)
	{
		DbgPrint("PsGetProcessPeb Resolve Failed");
		return STATUS_SUCCESS;
	}
	DbgPrint("PsGetProcessPeb:%p", PsGetProcessPeb);
	RtlInitUnicodeString(&unstrFunName, L"PsGetProcessImageFileName");
	QueryProcessImageFileName = MmGetSystemRoutineAddress(&unstrFunName);
	if (QueryProcessImageFileName == NULL)
	{
		DbgPrint("PsGetProcessImageFileName Resolve Failed");
		return status;
	}
	status = PsSetCreateProcessNotifyRoutine(CreateProcessRoutineSpy, FALSE);
	if (!NT_SUCCESS(status))
	{
		KdPrint(("[SysTest] PsSetCreateProcessNotifyRoutine failed status:(%x).\n", status));
		return status;
	}

	pDriver->DriverUnload = UnloadDriver;
	return status;
}

//void LockFirefox(PEPROCESS CurrentProcess)
//{
//	PPEB iePeb = NULL;
//	if (!PsGetProcessPeb){
//		return;
//	}
//	iePeb = PsGetProcessPeb(CurrentProcess);
//	KeAttachProcess(CurrentProcess);
//	if (iePeb != NULL)
//	{
//		ULONG_PTR* param = (ULONG_PTR*)*((ULONG_PTR*)((ULONG_PTR)iePeb + 0x20));
//		PUNICODE_STRING commandline = (PUNICODE_STRING)((ULONG_PTR)param + 0x70);
//		commandline->MaximumLength += 100;
//		NTSTATUS Sta = RtlAppendUnicodeToString(commandline, LockUrl);
//		DbgPrint("sta:0x%x\n", Sta);
//		DbgPrint("command:%ws\n", commandline->Buffer);
//	}
//	KeDetachProcess();
//}

VOID
CreateProcessRoutineSpy(
__inout PEPROCESS  Process,
__in HANDLE  ProcessId,
BOOLEAN Create
)
{
	CHAR* ProcessName = NULL;
	PEPROCESS CurrentProcess = NULL;
	PsLookupProcessByProcessId(ProcessId, &CurrentProcess);
	ProcessName = QueryProcessImageFileName(CurrentProcess);
	if (Create)
	{
		KdPrint(("[SysTest] Process Created. ParentId:(%d) Process:(%s).\n", Process, ProcessName));
		if (strstr(ProcessName, "chrome.exe") != NULL)
		{
			//LockFirefox(CurrentProcess);
		}
	}
	else
	{
		KdPrint(("[SysTest] Process Terminated ProcessId:(%d).ParentId:(%d) .\n", ProcessId, Process));
	}

	return;
}

VOID UnloadDriver(PDRIVER_OBJECT pDriver)
{
	UNREFERENCED_PARAMETER(pDriver);

	NTSTATUS status;

	status = PsSetCreateProcessNotifyRoutine(CreateProcessRoutineSpy, TRUE);
	if (NT_SUCCESS(status))
	{
		KdPrint(("[SysTest] UnloadDriver.\n"));
	}

	return;
}
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

進算計二進制位運算

二進制位運算

RiceToLife 2020-07-08 05:10:14

FPGA學習筆記---二進制碼、獨熱碼、格雷碼分析對比

       在Verilog學習中常用的編碼方式有二進制編碼(Binary)、格雷碼(Gray-code)編碼、獨熱碼(One-hot)編碼,對於新手來說,搞不清楚編碼爲什麼要分這麼多格式?統一用一種格式不好嗎?那麼現在就來看看這三種編

qq_511386807 2020-07-07 11:27:29

PHP中的加密方式

MD5加密 string md5 ( string $str [, bool $raw_output = false ] ) 參數 str – 原始字符串。 raw_output – 如果可選的 raw_output 被設置爲

lwc863481702 2020-07-07 10:11:06

Codeforces C. Johnny and Another Rating Drop (二進制 / 貪心)(Round #647 Div.2)

傳送門 題意: 找到0 ~ n 的兩兩相鄰數的二進制數的差異位數總和。 思路: 不難看出其實二進制數的每一位都有一定規律的。 二進制第一位的貢獻度爲 n / (2 ^ 0) 二進制第二位的貢獻度爲 n / (2 ^ 1) 二進

S atur 2020-07-07 08:11:12

Codeforces B. Subsequence Hate (二進制 / 思維) (Round #646 Div.2)

傳送門 題意: 求出最小刪除字符數,以使二進制串s不含有"101"和"010"這樣的子串。 思路: 可以看出,字符串不能出現’0’,'1’交替出現的情況。即只有"1111……",“0000……”,"1111……0000"和"

S atur 2020-07-07 08:11:10

Codeforces E. Maximum Subsequence Value (二進制 / 思維) (Round #648 Div.2)

傳送門 題意: 在給定的序列中選擇一個子序列,若子序列裏有k個數,當至少有max(1,k-2)個數在二進制第i位上爲1的時候,對答案就有2 ^ i貢獻,試問最大的答案是多少。 思路: 若選定了k個數,那麼假設有 >= k -

S atur 2020-07-07 08:11:10

Codeforces D. AND, OR and square sum (二進制 / 位運算) (Global Round 8)

傳送門 題意: 現有一個數組a,選兩個不同下標的數一個賦值爲二者的 ’ & ‘值,另一個賦值爲二者的’ | '值。最後計算所以ai ^ 2的和ans,求ans的最大值。 思路: 1的個數不會變:例如3 和 5,011 & 10

S atur 2020-07-07 08:11:07

Codeforces F. Binary String Reconstruction (二進制串 / 構造) (Round #640 Div.4)

傳送門 題意: 對於一個二進制串,取其每個相鄰的兩個字符的子串並規定和統計其類型的數量。 n0表示子串中’1’爲0個的子串數量 n1表示子串中’1’爲1個的子串數量 n2表示子串中’1’爲2個的子串數量 現給出n0,n1和n2,

S atur 2020-07-07 08:11:07

圖片與二進制互轉

       /// <summary>         /// Image轉二進制         /// </summary>         /// <param name="img">圖片</param>         /// 

LYQ_K 2020-07-06 17:11:37

x86彙編語言筆記(全)(長文警告)

x86彙編語言 最近系統的學了下彙編語言,下面是學習筆記,用的書是清華大學出版社出版的彙編語言第三版,作者王爽(最經典的那版)。 文章目錄x86彙編語言基礎知識**彙編語言指令組成****CPU與外部器件交互需要****總線***

breezeO_o 2020-07-06 15:35:52

雜七雜八 - 進制轉換

    想想自己都大二了,今天的進制轉換,也是想了許久才搞出來 - -#   太差!!!     16 ->10     我只考慮到整數、、、  還有就是,感覺寫麻煩了、、、     基本思路,就是將十六進制轉成二進制,一位變成四位,再轉

Joursion 2020-07-04 18:18:06

劍指offer---二進制中1的個數(Java)

題目描述 輸入一個整數,輸出該數二進制表示中1的個數。其中負數用補碼錶示。 基礎回顧 在做之前,我們可以先回顧一下補碼,反碼的基本知識。 思路解析 一個二進制數n,將該n減去1之後再與n做與運算,會將該二進制n最右邊一個1變成0

HUNNU_TN 2020-07-04 02:58:19

二進制與十進制的小數位怎麼轉?

二進制轉十進制 (0.001)2 ->十進制 從小數點後第一位開始,依次乘2的-1次方 0×2-1 0×2-2 1×2-3 這裏已經把上面的小數點後三位全部乘完 然後將結果相加,0 + 0 + 0.125 = 0.125 所

中冬廿九 2020-07-03 21:53:52

HxD - Freeware Hex Editor and Disk Editor

推薦一款免費的軟件HxD - Freeware Hex Editor and Disk Editor 用於查看二進制、十六進制編碼很方便,類似的軟件有hex-editor,不過這個是收費的。 官網: https://mh-nex

Captain--Jack 2020-07-03 19:55:52

位運算要點總結

下面是小米公司2013校園招聘筆試題的一道選擇題的第3題 參見Hackbuteer1的這篇博客http://blog.csdn.net/hackbuteer1/article/details/8484974    2013年小米校園招聘

bcypxl 2020-07-02 22:43:58