这类驱动的程序很简单,几本书中的例程,以及论坛里几位大侠的源码,都给了现成的例子。
其实也就一个API而已:PsSetCreateProcessNotifyRoutineEx。
重点是ms要求驱动都要签名。而且用早期泄露的证书签名的都无效了,被ms拉黑了。
不想花大钱去走ms流程买签名,也买不起,因为程序可能会更新得很频繁,光这个流程与价格就受不了。
哪位大侠知道有开源还签名的进程监控驱动程序,公布下?我们研究研究,看是否可以直接使用。非常感谢。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
