首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 经典问答
    3. 发新帖
关于拦截进程创建的问题
发表于: 2011-12-9 10:19 5815

关于拦截进程创建的问题

smilediy 活跃值
2011-12-9 10:19
5815
我知道可以hook ZwCreateFile或者更底层的函数拦截,但是这不是微软推荐的方法

有人说,可以在minifilter的PreCreate的时候判断是不是自己白名单的路径,不是的话直接返回,是的话直接允许。

但是这有一个问题,如果是未知进程如何挂起进程呢?

还有如何判断是进程运行呢?而不仅仅是普通的打开。。检查GENERIC_EXECUTE权限?

能直接在FileObject里面判断是不是PE结构吗,如何计算hash呢?

要是在PsSetCreateProcessNotifyRoutine之后能挂起进程吗?

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (7)
为爱轻狂
雪    币: 121
活跃值: (25)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
2
未知进程如何挂起进程?
遍历进程,再获取进程的线程句柄OpenThread,
SuspendThread 挂起线程
2011-12-13 00:12
0
smilediy
雪    币: 136
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
呵呵,我不是这个挂起的意思
2011-12-13 13:19
0
断空
雪    币: 2210
活跃值: (12)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
4
不懂,帮顶,同时来学习一下
2011-12-13 15:36
0
smilediy
雪    币: 136
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
没人回复
2011-12-16 10:24
0
tydef
雪    币: 107
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
minifilter的PreCreate的时候判断是不是自己白名单的路径,不是的话直接返回,是的话直接允许。
预操作 判断路径名基本不可靠
都是还没做的操作

MINIFILTER的这个文件过滤可以起到拦截进程创建作用?
不大懂  有疑问。
2011-12-20 09:27
0
ycmint
雪    币: 1149
活跃值: (888)
能力值: ( LV13,RANK:260 )
在线值:
发帖
回帖
粉丝
私信
7
最好是 post 里面做 如果拦截就  cancelopen
ps:你的问题太多了,不知道 怎么回答.....我要考试去了....
2011-12-20 09:57
0
smilediy
雪    币: 136
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
我是好学生,问题多多。。
2011-12-20 10:10
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//