上一主题下一主题
«123»Pages: 1/3     Go
主题 : 偶的监控程序PRMonitor 源代码(ddk+sdk)
复制链接 | 推送到博客 | 浏览器收藏 | 打印
级别: 驱动小牛
进入个人主页 作者资料 发送短消息
UID: 170057
精华: 1
发帖: 138
威望: 474 点
积分: 45 分
贡献值: 0 点
在线时间: 2(时)
注册时间: 2007-04-26
最后登录: 2009-06-09
楼主  发表于: 2007-11-17 21:41
只看楼主 |

偶的监控程序PRMonitor 源代码(ddk+sdk)

管理提醒: 本帖被 znsoft 设置为精华(2007-11-24)
  最近很多人对实时监控的程序感兴趣,而且zjjmj2002大侠也放了一个出来,我也把我的代码放出来...
通过ssdt hook实现 对进程创建,注册表修改和内核模块加载的监控...
hook 了ZwCreateProcess      其实很多方法不用调用ZwCreateProcess而创建进程  更好的办法是再hook 
NtCreateSection  我懒得改了 具体参考codeproject上的文章Hooking the native API and controlling process creation on a system-wide basis
注册表监控就是hook了ZwSetValueKey 没什么说的
内核监控仅仅 hook了ZwLoadDriver 其它进入ring0的方法没有监控........
现在只能算是一个Demo  骗骗观众罢了
等有时间再完善

其实 写这类的程序关键是封了进入ring0的方法  守住ring0这块高地 其它的什么都不怕.......






[ 此贴被x-star在2007-11-18 18:48重新编辑 ]
描述:源代码和二进制文件
附件: PRMonitor.rar (74 K) 下载次数:1279
美国 评分选定 顶端
回复 引用 评分 收藏
更多
级别: 驱动牛犊
进入个人主页 作者资料 发送短消息
UID: 166813
精华: 0
发帖: 20
威望: 30 点
积分: 4 分
贡献值: 0 点
在线时间: 1(时)
注册时间: 2007-03-01
最后登录: 2009-05-12
沙发  发表于: 2007-11-17 22:44
只看该作者 |

学习~~~
Unknown 评分选定 顶端
回复 引用 评分
更多
我是妖~
级别: 论坛版主
进入个人主页 作者资料 发送短消息
UID: 120115
精华: 2
发帖: 1784
威望: 1843 点
积分: 1066 分
贡献值: 0 点
在线时间: 2(时)
注册时间: 2005-10-03
最后登录: 2009-06-08
板凳  发表于: 2007-11-17 22:51
只看该作者 |

LZ还可以啦~我顶你~
没有战争就没有进步
X3工作组
为您提供最好的军火
辽宁省 评分选定 顶端
回复 引用 评分
更多
级别: 驱动牛犊
进入个人主页 作者资料 发送短消息
UID: 108346
精华: 0
发帖: 54
威望: 73 点
积分: 7 分
贡献值: 0 点
在线时间: 0(时)
注册时间: 2005-06-20
最后登录: 2009-03-01
地板  发表于: 2007-11-18 11:22
只看该作者 |

学习!
美国 评分选定 顶端
回复 引用 评分
更多
级别: 驱动牛犊
进入个人主页 作者资料 发送短消息
UID: 176965
精华: 0
发帖: 9
威望: 10 点
积分: 3 分
贡献值: 0 点
在线时间: 0(时)
注册时间: 2007-08-24
最后登录: 2009-04-09
地下室  发表于: 2007-11-19 09:33
只看该作者 |

学习 谢谢!
美国 评分选定 顶端
回复 引用 评分
更多
级别: 驱动小牛
进入个人主页 作者资料 发送短消息 QQ联系
UID: 168996
精华: 1
发帖: 236
威望: 311 点
积分: 14 分
贡献值: 0 点
在线时间: 2(时)
注册时间: 2007-04-05
最后登录: 2009-06-03
5楼  发表于: 2007-11-19 09:41
只看该作者 |

很好,赞一个先。
美国 评分选定 顶端
回复 引用 评分
更多
级别: 驱动牛犊
进入个人主页 作者资料 发送短消息
UID: 58005
精华: 0
发帖: 3
威望: 3 点
积分: 1 分
贡献值: 0 点
在线时间: 0(时)
注册时间: 2003-05-20
最后登录: 2009-01-02
6楼  发表于: 2007-11-21 00:11
只看该作者 |

天蓝蓝
英国 评分选定 顶端
回复 引用 评分
更多
级别: 驱动牛犊
进入个人主页 作者资料 发送短消息
UID: 89924
精华: 0
发帖: 5
威望: 5 点
积分: -10 分
贡献值: 0 点
在线时间: 0(时)
注册时间: 2004-08-26
最后登录: 2009-04-08
7楼  发表于: 2007-11-23 11:38
只看该作者 |

好东西,要顶一目
北京市 评分选定 顶端
回复 引用 评分
更多
级别: 驱动牛犊
进入个人主页 作者资料 发送短消息
UID: 182449
精华: 0
发帖: 2
威望: 3 点
积分: 0 分
贡献值: 0 点
在线时间: 0(时)
注册时间: 2007-11-23
最后登录: 2008-08-24
8楼  发表于: 2007-11-23 20:16
只看该作者 |

学习 谢谢
辽宁省沈阳市 评分选定 顶端
回复 引用 评分
更多
级别: 驱动牛犊
进入个人主页 作者资料 发送短消息
UID: 175286
精华: 0
发帖: 26
威望: 36 点
积分: 5 分
贡献值: 0 点
在线时间: 5(时)
注册时间: 2007-07-29
最后登录: 2009-06-04
9楼  发表于: 2007-11-26 10:50
只看该作者 |

支持,不知道vista64下,好用不,
等晚上回家测试一下.
哈尔滨工业大学 评分选定 顶端
回复 引用 评分
更多
级别: 驱动小牛
进入个人主页 作者资料 发送短消息
UID: 83687
精华: 0
发帖: 271
威望: 262 点
积分: 1002 分
贡献值: 0 点
在线时间: 0(时)
注册时间: 2004-05-28
最后登录: 2008-09-10
10楼  发表于: 2007-11-27 14:44
只看该作者 |

不顶没良心.
河北省 评分选定 顶端
回复 引用 评分
更多
级别: 驱动小牛
进入个人主页 作者资料 发送短消息
UID: 83687
精华: 0
发帖: 271
威望: 262 点
积分: 1002 分
贡献值: 0 点
在线时间: 0(时)
注册时间: 2004-05-28
最后登录: 2008-09-10
11楼  发表于: 2007-11-27 15:31
只看该作者 |

//小弟不才,是为了给驱动传送CreateProcess的地址?

DWORD * addr=(DWORD *)(1+(DWORD)GetProcAddress(GetModuleHandle("ntdll.dll"),"NtCreateProcess"));

//这个是清零
    ZeroMemory(outputbuff,256);

//??小弟不才,没看懂这句的意思?是为了给驱动传送CreateProcess的地址?
//看驱动中是得到了CreateProcessEx的地址,这个是不是没用的语句?

    controlbuff[0]=addr[0];

//下面这句是从4字节后设置成共享内存并发给驱动

          controlbuff[1]=xxxx;
河北省 评分选定 顶端
回复 引用 评分
更多
级别: 驱动牛犊
进入个人主页 作者资料 发送短消息
UID: 159901
精华: 2
发帖: 47
威望: 70 点
积分: 2 分
贡献值: 0 点
在线时间: 0(时)
注册时间: 2006-09-21
最后登录: 2009-05-21
12楼  发表于: 2007-11-28 11:43
只看该作者 |

很棒,学习了
四川省成都市 评分选定 顶端
回复 引用 评分
更多
级别: 驱动牛犊
进入个人主页 作者资料 发送短消息
UID: 152249
精华: 0
发帖: 23
威望: 24 点
积分: 1 分
贡献值: 0 点
在线时间: 0(时)
注册时间: 2006-07-09
最后登录: 2008-09-19
13楼  发表于: 2007-11-29 08:47
只看该作者 |

在禁止了进程运行后,会弹出“不是有效句柄”的错误?请问怎么把这个消息屏蔽掉?
Unknown 评分选定 顶端
回复 引用 评分
更多
级别: 驱动牛犊
进入个人主页 作者资料 发送短消息
UID: 175781
精华: 0
发帖: 6
威望: 7 点
积分: 2 分
贡献值: 0 点
在线时间: 0(时)
注册时间: 2007-08-06
最后登录: 2009-03-02
14楼  发表于: 2007-12-11 18:36
只看该作者 |

共同学习
一起进步
河南省南阳市 评分选定 顶端
回复 引用 评分
更多
级别: 驱动牛犊
进入个人主页 作者资料 发送短消息
UID: 183703
精华: 0
发帖: 1
威望: 2 点
积分: 10 分
贡献值: 0 点
在线时间: 0(时)
注册时间: 2007-12-19
最后登录: 2007-12-27
15楼  发表于: 2007-12-19 21:21
只看该作者 |

下来看看学习一下。谢谢
Unknown 评分选定 顶端
回复 引用 评分
更多
级别: 驱动牛犊
进入个人主页 作者资料 发送短消息
UID: 162098
精华: 0
发帖: 15
威望: 16 点
积分: 140 分
贡献值: 0 点
在线时间: 0(时)
注册时间: 2006-10-30
最后登录: 2008-06-25
16楼  发表于: 2008-01-08 16:45
只看该作者 |

和大家一样,顶你一下
北京市 评分选定 顶端
回复 引用 评分
更多
级别: 驱动牛犊
进入个人主页 作者资料 发送短消息
UID: 184585
精华: 0
发帖: 13
威望: 14 点
积分: 0 分
贡献值: 0 点
在线时间: 0(时)
注册时间: 2008-01-05
最后登录: 2009-04-08
17楼  发表于: 2008-01-16 15:17
只看该作者 |

学习了,非常感谢!!!
福建省福州市 评分选定 顶端
回复 引用 评分
更多
级别: 驱动牛犊
进入个人主页 作者资料 发送短消息
UID: 166524
精华: 0
发帖: 22
威望: 32 点
积分: 211 分
贡献值: 0 点
在线时间: 0(时)
注册时间: 2007-02-21
最后登录: 2009-01-05
18楼  发表于: 2008-02-24 12:14
只看该作者 |

正在学习,谢了
电子科技大学 评分选定 顶端
回复 引用 评分
更多
级别: 驱动牛犊
进入个人主页 作者资料 发送短消息
UID: 188059
精华: 0
发帖: 9
威望: 10 点
积分: 10 分
贡献值: 0 点
在线时间: 0(时)
注册时间: 2008-03-26
最后登录: 2008-06-02
19楼  发表于: 2008-04-01 10:49
只看该作者 |

上海市 评分选定 顶端
回复 引用 评分
更多
上一主题下一主题
«123»Pages: 1/3     Go
帖子浏览记录 版块浏览记录  驱动程序开发网技术社区 » 反流氓、反木马和rootkit
快速发帖 顶端
内容
HTML 代码不可用
使用签名
Wind Code自动转换

按 Ctrl+Enter 直接提交