-
-
[求助]PsSetCreateProcessNotifyRoutine设置的回调函数,监控进程创建 怎么结束他?
-
发表于:
2011-6-7 17:58
8818
-
[求助]PsSetCreateProcessNotifyRoutine设置的回调函数,监控进程创建 怎么结束他?
VOID ProcessCreateMon(IN HANDLE hParentId,IN HANDLE PId,IN BOOLEAN bCreate)
{
PEPROCESS EProcess;
ULONG ulCurrentProcessId;
char* lpCurProc; //进程名
NTSTATUS status;
KAPC_STATE apcState;
HANDLE hProcess = NULL;
BOOLEAN passthru = TRUE;
wchar_t szFileName[MAX_PATH] = {0};
//_asm int 3
status = PsLookupProcessByProcessId((ULONG)PId, &EProcess);
DbgPrint("processCreateMon!\n");
if (!NT_SUCCESS( status ))
{
DbgPrint("PsLookupProcessByProcessId()\n");
return;
}
if ( bCreate )
{
lpCurProc = (LPTSTR)EProcess;
lpCurProc = lpCurProc + g_iProcessNameOffset;
mbstowcs(szFileName,lpCurProc,strlen(lpCurProc));
DbgPrint("%S\n",szFileName);
KeStackAttachProcess(EProcess,&apcState);
ZwTerminateProcess(0,0);
}
//ObReferenceObject(EProcess);
//ObDereferenceObject();
}
蓝屏啊。我就是控制下进程的创建,32位的可以SSDT什么的,64位改不了内核就尝试设置回调看看能否结束他。
可以么?
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
