首页
课程
问答
CTF
社区
招聘
峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
峰会
看雪商城
证书查询
社区
软件逆向
发新帖
1
0
[求助]如何实现类似于杀毒软件的内核态的进程控制?
发表于: 2008-8-21 15:07
5406
[求助]如何实现类似于杀毒软件的内核态的进程控制?
birdEEI
2008-8-21 15:07
5406
现在已经实现了内核态的进程监控。需要实现的功能是类似于杀毒软件的进程控制。内核态监测到了有程序需要创建,这时候向用户态发送一个通知,然后用户态来判断是否允许进程的创建。这个内核态向用户态发送通知是如何实现?
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
#系统底层
收藏
・
1
免费
・
0
支持
分享
分享到微信
分享到QQ
分享到微博
赞赏记录
参与人
雪币
留言
时间
查看更多
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
感谢分享~
最新回复
(
6
)
TGOS
雪 币:
200
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
3
回帖
69
粉丝
0
关注
私信
TGOS
2
楼
DeviceIoControl
2008-8-22 08:43
0
compiler
雪 币:
220
活跃值:
(28)
能力值:
( LV2,RANK:10 )
在线值:
发帖
19
回帖
132
粉丝
0
关注
私信
compiler
3
楼
PsSetCreateProcessNotifyRoutine
2008-8-22 08:57
0
veninson
雪 币:
215
活跃值:
(19)
能力值:
( LV2,RANK:10 )
在线值:
发帖
25
回帖
102
粉丝
0
关注
私信
veninson
4
楼
有DeviceIoControl配合NTOpenProcess的简单例子么,不知道在驱动里怎么获取DeviceIoControl传来的值
DELPHI+DDDK。。。。。
2008-8-22 09:08
0
birdEEI
雪 币:
30
活跃值:
(25)
能力值:
( LV3,RANK:20 )
在线值:
发帖
16
回帖
50
粉丝
0
关注
私信
birdEEI
5
楼
DeviceIoControl是用户态调用驱动的方法,但是采用这种方法以后,监视了这个函数就一直不返回,一直到内核态返回。这种方法感觉比较笨,但是做应该是可以实现的,我想用一个看起来更加好的方法。PsSetCreateProcessNotifyRoutine这是实现内核态监视的方法,不是我想实现的功能。
2008-8-22 09:25
0
TGOS
雪 币:
200
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
3
回帖
69
粉丝
0
关注
私信
TGOS
6
楼
他问的是
==> 这个内核态向用户态发送通知是如何实现? <==
所以回答 DeviceIoControl 咯
等待用户的决定可以用 KeWaitforSingleObject 来做嘛
2008-8-27 10:44
0
xPLK
雪 币:
375
活跃值:
(12)
能力值:
( LV8,RANK:130 )
在线值:
发帖
18
回帖
705
粉丝
0
关注
私信
xPLK
3
7
楼
汗一个。
可以使用双事件。
如果你写过多线程协调工作的,原理也就那样。
参考炉子写的《Ring0钩子防网页挂马》。
DeviceIoControl 只是Ring3的程序收到了消息之后用这个函数去弄点数据。
2008-8-27 12:22
0
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
birdEEI
16
发帖
50
回帖
20
RANK
关注
私信
他的文章
[求助]CVE-2014-1776样本触发
5111
[求助]windbg调试时64位windows程序时段寄存器偏移表示的问题
8047
[求助]MBR分析环境搭建时的问题
6557
[原创]shellcode框架,纯属娱乐
15575
[原创]第二题答案提交
3943
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
看原图
赞赏
×
雪币:
+
留言:
快捷留言
为你点赞!
返回
顶部