[求助]怎么实现进程黑名单功能-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]怎么实现进程黑名单功能 0.00雪花

发表于: 2013-12-12 17:05 1874

[旧帖] [求助]怎么实现进程黑名单功能 0.00雪花

feizainju

2013-12-12 17:05

1874

最近想实现一个windows下的进程黑名单功能，目前有两种实现思路
1）ssdt hook
   hook进程创建过程中用到的某个函数，进行黑名单过滤
2）回调函数
   使用如PsSetCreateProcessNotifyRoutine 的回调函数，写一个内核驱动，注册回调，在自己的回调函数中进行过滤
   自己趋向于使用方法2，目前知道回调机制能实现注册表操作的拦截，但是不知道能否实现进程创建的拦截和禁止？如果能该怎么实现？
   谢谢各位

[课程]Linux pwn 探索篇！

收藏・0

免费・0

支持

最新回复 (2)
lvbenke 雪币： 142 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 53 粉丝 1 关注私信	lvbenke 2 楼 PsSetCreateProcessNotifyRoutine 这个函数不能实现拦截和阻止，只能监控进程创建和关闭PsSetCreateProcessNotifyRoutine EX 这个函数可以的。但是这个函数只能在xp之后的版本可以调用 2013-12-16 16:40 0
lovelyday 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 169 粉丝 0 关注私信	lovelyday 3 楼监控到黑名单的进程，根据ProcessId找到EPROCESS，然后打开，然后Terminte掉，搞定 2013-12-17 22:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

feizainju

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
lvbenke 雪币： 142 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 53 粉丝 1 关注私信	lvbenke 2 楼 PsSetCreateProcessNotifyRoutine 这个函数不能实现拦截和阻止，只能监控进程创建和关闭PsSetCreateProcessNotifyRoutine EX 这个函数可以的。但是这个函数只能在xp之后的版本可以调用 2013-12-16 16:40 0
lovelyday 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 169 粉丝 0 关注私信	lovelyday 3 楼监控到黑名单的进程，根据ProcessId找到EPROCESS，然后打开，然后Terminte掉，搞定 2013-12-17 22:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复