3
我开发了一个能够监视进程执行情况的Windows XP驱动程序。在NT驱动程序中拦截进程执行
回调函数使用标准的WDK API(PsSetCreateProcessNotifyRoutine)接收通知。
司机然后决定是否应授权过程;如果没有,它必须阻止它的执行/杀死它。
以这种方式拦截执行的最简洁的方法是什么?如果没有记录,我不介意,但如果可能的话,我宁愿不要求助于挂钩。
A
回答
1
确定,根据该文件:
我需要安装一个微过滤器对IRP_MJ_ACQUIRE_FOR_SECTION_SYNCHRONIZATION和检查PageProtection == PAGE_EXECUTE。
1
PsSetCreateProcessNotifyRoutineEx(Vista +)将允许您通过将CreateInfo-> CreationStatus成员更改为NTSTATUS错误代码来导致进程创建操作失败。
相关问题
- 1. 拦截进程执行
- 2. 如何拦截和替换jdbc驱动程序中的SQL?
- 3. ndis过滤器驱动程序是否属于NT驱动程序或WDM驱动程序?
- 4. 在DLL注入后拦截BIG应用程序执行
- 5. Java程序拦截端口?
- 6. 我如何在安装打印机驱动程序的C#中执行进程?
- 7. Spring MVC拦截器不会执行资源处理程序URL
- 8. 该驱动程序不可执行Chromedriver
- 9. 拦截对golang进程的响应
- 10. OS-X Linux拦截进程调用
- 11. Spark执行器,驱动程序,执行程序核心,执行程序内存的值
- 12. 在MVC应用程序框架中使用拦截器还是不拦截器?
- 13. 模型驱动拦截器不工作
- 14. 从驱动程序创建进程
- 15. 相当于Mongo执行的PHP MongoDB驱动程序执行
- 16. 如何拦截窗口到Windows驱动程序级别的更新?
- 17. 在启动过程中执行驱动程序初始化后的操作
- 18. delphi应用程序和Windows NT系统驱动程序之间的通信
- 19. BIRT - 驱动程序不显示在管理驱动程序中
- 20. 如何拦截子进程的父进程
- 21. 在MongoDB C#驱动程序中使用AsQueryable进行投影2.2
- 22. 在python中顺序执行子进程
- 23. 弹簧WS&验证程序拦截
- 24. 从正在运行的Java程序拦截输出
- 25. 当驱动程序内置驱动程序时,驱动程序不工作
- 26. rdd.saveAsTextFile在foreachRDD内的驱动程序或工作程序上执行。
- 27. 在程序执行时进行输入
- 28. 拦截子进程的标准输出它运行
- 29. 执行上下文驱动的编程
- 30. 在执行硒web驱动程序时得到异常
Vista RTM不支持PsSetCreateProcessNotifyRoutineEx(升级到SP1) – unixman83 2011-09-18 16:57:14