[原创]偶写的Ring0监控程序PRMonitor源代码(ddk+sdk)-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]偶写的Ring0监控程序PRMonitor源代码(ddk+sdk)

发表于: 2007-11-17 21:57 34167

[原创]偶写的Ring0监控程序PRMonitor源代码(ddk+sdk)

xhackx

2007-11-17 21:57

34167

【文章标题】: PRMonitor
【作者邮箱】: qqshow@live.com
【BLOG 】: http://hi.baidu.com/heartdbg
【下载地址】: 附件里下载
【测试平台】: xp sp2 其它平台没有测试
最近很多人对实时监控的程序感兴趣,我也把我的代码放出来...
通过ssdt hook实现对进程创建,注册表修改和内核模块加载的监控...
hook 了ZwCreateProcess    其实很多方法不用调用ZwCreateProcess而创建进程  更好的办法是再hook
NtCreateSection  我懒得改了具体参考codeproject上的文章Hooking the native API and controlling process creation on a system-wide basis
注册表监控就是hook了ZwSetValueKey 没什么说的
内核监控仅仅 hook了ZwLoadDriver 其它进入ring0的方法没有监控........
现在只能算是一个Demo

其实写这类的程序关键是封了进入ring0的方法  守住ring0这块高地其它的什么都不怕.......
sdk+ddk代码在附件中

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

上传的附件：

PRMonitor.rar （73.92kb，1350次下载）

收藏・35

免费・7

支持

最新回复 (45) 1 2 ▶
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 12 关注私信	北极星2003 25 2 楼支持！ 2007-11-17 22:42 0
liuyusong 雪币： 113 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 176 粉丝 0 关注私信	liuyusong 3 楼学习，支持！！！！！ 2007-11-18 00:48 0
xicao 雪币： 243 活跃值： (179) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 113 粉丝 0 关注私信	xicao 4 楼很好，对我们很有帮助 2007-11-18 09:54 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 5 楼吼吼，顶个~ 纠正一下。那个zjjmj2002也没有放他的源码啊。虽说是个大牛，但也不叫MJ大虾啊。叫MJ大虾的是360的MJ0011 2007-11-18 10:25 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 6 楼 nice job 2007-11-18 11:28 0
soychino 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 169 粉丝 0 关注私信	soychino 7 楼谢谢分享！！！ 2007-11-18 11:29 0
StarsunYzL 雪币： 454 活跃值： (1673) 能力值： ( LV3，RANK：30 ) 在线值：发帖 29 回帖 440 粉丝 1 关注私信	StarsunYzL 8 楼驱网上看到了，nice! 2007-11-18 12:59 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 9 楼谢谢分享！！！ 2007-11-18 13:22 0
iawen 雪币： 359 活跃值： (430) 能力值： ( LV9，RANK：150 ) 在线值：发帖 11 回帖 174 粉丝 1 关注私信	iawen 3 10 楼谢谢楼主，学习一下， 2007-11-18 14:12 0
NIU 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 110 粉丝 0 关注私信	NIU 11 楼很好的例子，下载，学习中 2007-11-18 21:21 0
crzlvb 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	crzlvb 12 楼支持 LZ... 2007-11-20 20:02 0
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 13 楼很好，支持分享！！！ 2007-11-22 13:30 0
lsrh 雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 71 粉丝 0 关注私信	lsrh 14 楼高手支持 2007-11-22 17:29 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 15 楼支持下，只是研究过进程的创建和销毁.... 2007-11-23 20:54 0
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 16 楼学习。。。 2007-11-25 16:46 0
一个穷光蛋雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 87 粉丝 0 关注私信	一个穷光蛋 17 楼 //小弟不才,是为了给驱动传送CreateProcess的地址? DWORD * addr=(DWORD *)(1+(DWORD)GetProcAddress(GetModuleHandle("ntdll.dll"),"NtCreateProcess")); //这个是清零 ZeroMemory(outputbuff,256); //??小弟不才,没看懂这句的意思?是为了给驱动传送CreateProcess的地址? //看驱动中是得到了CreateProcessEx的地址,这个是不是没用的语句? controlbuff[0]=addr[0]; //下面这句是从4字节后设置成共享内存并发给驱动 controlbuff[1]=xxxx; 2007-11-28 14:47 0
xhackx 雪币： 220 活跃值： (12) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 44 粉丝 0 关注私信	xhackx 1 18 楼本来是从Ring3得到ID号再传给Ring0的不过后来改进了下直接从Ring0取ID了不过这个接口还留着没删掉 2007-11-29 18:35 0
zhangle 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	zhangle 19 楼很好，对我们很有帮助 2007-12-1 10:30 0
一个穷光蛋雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 87 粉丝 0 关注私信	一个穷光蛋 20 楼呵呵,看来我理解对了. 2007-12-2 19:11 0
somuch 雪币： 282 活跃值： (31) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 341 粉丝 1 关注私信	somuch 1 21 楼学习，支持~ 2007-12-2 21:07 0
yuwgle 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 0 关注私信	yuwgle 22 楼我想知道你用什么建立这个工程的。我也想写个东西 2008-2-13 21:02 0
Ajampie 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 329 粉丝 1 关注私信	Ajampie 23 楼看了一下。。。不错的东西 2008-2-14 10:58 0
kagayaki 雪币： 227 活跃值： (4820) 能力值： ( LV3，RANK：20 ) 在线值：发帖 172 回帖 1233 粉丝 24 关注私信	kagayaki 24 楼不错的东西 2008-2-17 06:33 0
lovexin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	lovexin 25 楼谢谢楼主,下载学习了,,, 2008-2-23 19:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

xhackx

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (45) 1 2 ▶
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 12 关注私信	北极星2003 25 2 楼支持！ 2007-11-17 22:42 0
liuyusong 雪币： 113 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 176 粉丝 0 关注私信	liuyusong 3 楼学习，支持！！！！！ 2007-11-18 00:48 0
xicao 雪币： 243 活跃值： (179) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 113 粉丝 0 关注私信	xicao 4 楼很好，对我们很有帮助 2007-11-18 09:54 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 5 楼吼吼，顶个~ 纠正一下。那个zjjmj2002也没有放他的源码啊。虽说是个大牛，但也不叫MJ大虾啊。叫MJ大虾的是360的MJ0011 2007-11-18 10:25 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 6 楼 nice job 2007-11-18 11:28 0
soychino 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 169 粉丝 0 关注私信	soychino 7 楼谢谢分享！！！ 2007-11-18 11:29 0
StarsunYzL 雪币： 454 活跃值： (1673) 能力值： ( LV3，RANK：30 ) 在线值：发帖 29 回帖 440 粉丝 1 关注私信	StarsunYzL 8 楼驱网上看到了，nice! 2007-11-18 12:59 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 9 楼谢谢分享！！！ 2007-11-18 13:22 0
iawen 雪币： 359 活跃值： (430) 能力值： ( LV9，RANK：150 ) 在线值：发帖 11 回帖 174 粉丝 1 关注私信	iawen 3 10 楼谢谢楼主，学习一下， 2007-11-18 14:12 0
NIU 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 110 粉丝 0 关注私信	NIU 11 楼很好的例子，下载，学习中 2007-11-18 21:21 0
crzlvb 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	crzlvb 12 楼支持 LZ... 2007-11-20 20:02 0
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 13 楼很好，支持分享！！！ 2007-11-22 13:30 0
lsrh 雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 71 粉丝 0 关注私信	lsrh 14 楼高手支持 2007-11-22 17:29 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 15 楼支持下，只是研究过进程的创建和销毁.... 2007-11-23 20:54 0
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 16 楼学习。。。 2007-11-25 16:46 0
一个穷光蛋雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 87 粉丝 0 关注私信	一个穷光蛋 17 楼 //小弟不才,是为了给驱动传送CreateProcess的地址? DWORD * addr=(DWORD *)(1+(DWORD)GetProcAddress(GetModuleHandle("ntdll.dll"),"NtCreateProcess")); //这个是清零 ZeroMemory(outputbuff,256); //??小弟不才,没看懂这句的意思?是为了给驱动传送CreateProcess的地址? //看驱动中是得到了CreateProcessEx的地址,这个是不是没用的语句? controlbuff[0]=addr[0]; //下面这句是从4字节后设置成共享内存并发给驱动 controlbuff[1]=xxxx; 2007-11-28 14:47 0
xhackx 雪币： 220 活跃值： (12) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 44 粉丝 0 关注私信	xhackx 1 18 楼本来是从Ring3得到ID号再传给Ring0的不过后来改进了下直接从Ring0取ID了不过这个接口还留着没删掉 2007-11-29 18:35 0
zhangle 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	zhangle 19 楼很好，对我们很有帮助 2007-12-1 10:30 0
一个穷光蛋雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 87 粉丝 0 关注私信	一个穷光蛋 20 楼呵呵,看来我理解对了. 2007-12-2 19:11 0
somuch 雪币： 282 活跃值： (31) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 341 粉丝 1 关注私信	somuch 1 21 楼学习，支持~ 2007-12-2 21:07 0
yuwgle 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 0 关注私信	yuwgle 22 楼我想知道你用什么建立这个工程的。我也想写个东西 2008-2-13 21:02 0
Ajampie 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 329 粉丝 1 关注私信	Ajampie 23 楼看了一下。。。不错的东西 2008-2-14 10:58 0
kagayaki 雪币： 227 活跃值： (4820) 能力值： ( LV3，RANK：20 ) 在线值：发帖 172 回帖 1233 粉丝 24 关注私信	kagayaki 24 楼不错的东西 2008-2-17 06:33 0
lovexin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	lovexin 25 楼谢谢楼主,下载学习了,,, 2008-2-23 19:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复