首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[求助]内核怎么监控进程的退出
发表于: 2017-11-28 03:34 4171

[求助]内核怎么监控进程的退出

简单选择 活跃值
2017-11-28 03:34
4171

我需要在进程退出的时候 执行一些命令。。


hook一些函数监控的话,,,经常会有遗漏,监控不到的时候。。。

之前我使用PsSetCreateProcessNotifyRoutine注册一个回调函数  监控进程的退出,,非常好用。。。

可是最近发现一些安全工具会删掉我的回调函数。。。。所以   这个办法不能用了。。。。



大家有什么好办法?


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 1
支持
分享
最新回复 (7)
ugvjewxf
雪    币: 615
活跃值: (580)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
私信
2
谁敢删除你的回调,蓝屏给它看。
2017-11-28 09:16
1
hzqst
雪    币: 12848
活跃值: (9142)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
私信
3
你可以利用别人的驱动(比如PROCMON23,  PROCEXP154)来干事情
2017-11-28 09:17
0
蚯蚓降龙
雪    币: 4928
活跃值: (967)
能力值: ( LV9,RANK:175 )
在线值:
发帖
回帖
粉丝
私信
4
你hook  PsSetCreateProcessNotifyRoutine能防止别人简单的删除?要不然就hook那些ExitProcess要调用的函数,或者选择系统已存在的ProcessNotify回调函数
2017-11-28 09:53
0
ZChameleon
雪    币: 78
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
啥安全软件删回调啊,感觉对稳定性有很大影响,这么做不是作死吗。
2017-11-28 11:34
0
轩辕之风
雪    币: 2291
活跃值: (938)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
私信
6
用安全软件自己的驱动地址做跳板,这样就不会被删了
2017-11-28 16:34
0
Ox9A82
雪    币: 799
活跃值: (457)
能力值: ( LV12,RANK:280 )
在线值:
发帖
回帖
粉丝
私信
7
不能hook的话就只能依靠notify了吧
2017-12-21 03:11
0
kjliaorui
雪    币: 180
活跃值: (80)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
8
把你的回调写入其他系统驱动空隙,然后jmp到你的回调里面
2017-12-21 11:24
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//