x-star 离线

级别: 驱动小牛

UID: 170057
精华: 1
发帖: 156
威望: 654 点
积分: 64 分
贡献值: 1 点
在线时间: 47(时)
注册时间: 2007-04-26
最后登录: 2009-12-24

楼主发表于: 2007-11-17 21:41

偶的监控程序PRMonitor 源代码(ddk+sdk)

管理提醒: (�) � (�)

最近很多人对实时监控的程序感兴趣,而且zjjmj2002大侠也放了一个出来,我也把我的代码放出来...
通过ssdt hook实现对进程创建,注册表修改和内核模块加载的监控...
hook 了ZwCreateProcess 其实很多方法不用调用ZwCreateProcess而创建进程更好的办法是再hook
NtCreateSection 我懒得改了具体参考codeproject上的文章Hooking the native API and controlling process creation on a system-wide basis
注册表监控就是hook了ZwSetValueKey 没什么说的
内核监控仅仅 hook了ZwLoadDriver 其它进入ring0的方法没有监控........
现在只能算是一个Demo 骗骗观众罢了
等有时间再完善

其实写这类的程序关键是封了进入ring0的方法守住ring0这块高地其它的什么都不怕.......

[ 此贴被x-star在2007-11-18 18:48重新编辑 ]

附件:

PRMonitor.rar (74 K) 下载次数:1444

驱动程序数字签名证书申请，免费技术支持 全球领先的透明加密开发包DMK登录中国

美国顶端

回复引用收藏

sudami 离线

级别: 驱动牛犊

UID: 166813
精华: 0
发帖: 20
威望: 30 点
积分: 4 分
贡献值: 0 点
在线时间: 1(时)
注册时间: 2007-03-01
最后登录: 2009-07-15

沙发发表于: 2007-11-17 22:44

只看该作者 | 小中大

学习~~~

驱动程序数字签名证书申请，免费技术支持 全球领先的透明加密开发包DMK登录中国

Unknown 顶端

回复引用

killvxk 离线

我是妖～

级别: 论坛版主

UID: 120115
精华: 2
发帖: 1785
威望: 1863 点
积分: 1068 分
贡献值: 0 点
在线时间: 10(时)
注册时间: 2005-10-03
最后登录: 2009-11-25

板凳发表于: 2007-11-17 22:51

只看该作者 | 小中大

LZ还可以啦～我顶你～

驱动程序数字签名证书申请，免费技术支持 全球领先的透明加密开发包DMK登录中国

没有战争就没有进步
X3工作组
为您提供最好的军火

辽宁省顶端

回复引用

codez 离线

级别: 驱动牛犊

UID: 108346
精华: 0
发帖: 54
威望: 73 点
积分: 7 分
贡献值: 0 点
在线时间: 0(时)
注册时间: 2005-06-20
最后登录: 2009-12-07

地板发表于: 2007-11-18 11:22

只看该作者 | 小中大

学习!

驱动程序数字签名证书申请，免费技术支持 全球领先的透明加密开发包DMK登录中国

美国顶端

回复引用

ranwei1025 离线

级别: 驱动牛犊

UID: 176965
精华: 0
发帖: 9
威望: 10 点
积分: 3 分
贡献值: 0 点
在线时间: 0(时)
注册时间: 2007-08-24
最后登录: 2009-04-09

地下室发表于: 2007-11-19 09:33

只看该作者 | 小中大

学习谢谢！

驱动程序数字签名证书申请，免费技术支持 全球领先的透明加密开发包DMK登录中国

美国顶端

回复引用

zjjmj2002 离线

级别: 驱动小牛

UID: 168996
精华: 1
发帖: 237
威望: 321 点
积分: 15 分
贡献值: 0 点
在线时间: 9(时)
注册时间: 2007-04-05
最后登录: 2009-11-25

5楼发表于: 2007-11-19 09:41

只看该作者 | 小中大

很好，赞一个先。

驱动程序数字签名证书申请，免费技术支持 全球领先的透明加密开发包DMK登录中国

美国顶端

回复引用

symbol 离线

级别: 驱动牛犊

UID: 58005
精华: 0
发帖: 3
威望: 3 点
积分: 1 分
贡献值: 0 点
在线时间: 0(时)
注册时间: 2003-05-20
最后登录: 2009-07-13

6楼发表于: 2007-11-21 00:11

只看该作者 | 小中大

天蓝蓝

驱动程序数字签名证书申请，免费技术支持 全球领先的透明加密开发包DMK登录中国

英国顶端

回复引用

MorrisZhang 离线

级别: 驱动牛犊

UID: 89924
精华: 0
发帖: 5
威望: 5 点
积分: -10 分
贡献值: 0 点
在线时间: 0(时)
注册时间: 2004-08-26
最后登录: 2009-11-23

7楼发表于: 2007-11-23 11:38

只看该作者 | 小中大

好东西，要顶一目

驱动程序数字签名证书申请，免费技术支持 全球领先的透明加密开发包DMK登录中国

北京市顶端

回复引用

yueguo 离线

级别: 驱动牛犊

UID: 182449
精华: 0
发帖: 2
威望: 3 点
积分: 0 分
贡献值: 0 点
在线时间: 0(时)
注册时间: 2007-11-23
最后登录: 2008-08-24

8楼发表于: 2007-11-23 20:16

只看该作者 | 小中大

学习谢谢

驱动程序数字签名证书申请，免费技术支持 全球领先的透明加密开发包DMK登录中国

辽宁省沈阳市顶端

回复引用

carlkwan 离线

级别: 驱动牛犊

UID: 175286
精华: 0
发帖: 26
威望: 36 点
积分: 5 分
贡献值: 0 点
在线时间: 6(时)
注册时间: 2007-07-29
最后登录: 2009-12-07

9楼发表于: 2007-11-26 10:50

只看该作者 | 小中大

支持，不知道vista64下，好用不，
等晚上回家测试一下.

驱动程序数字签名证书申请，免费技术支持 全球领先的透明加密开发包DMK登录中国

哈尔滨工业大学顶端

回复引用

wangjianfeng 离线

级别: 驱动小牛

UID: 83687
精华: 0
发帖: 271
威望: 262 点
积分: 1002 分
贡献值: 0 点
在线时间: 0(时)
注册时间: 2004-05-28
最后登录: 2009-10-23

10楼发表于: 2007-11-27 14:44

只看该作者 | 小中大

不顶没良心.

驱动程序数字签名证书申请，免费技术支持 全球领先的透明加密开发包DMK登录中国

河北省顶端

回复引用

wangjianfeng 离线

级别: 驱动小牛

UID: 83687
精华: 0
发帖: 271
威望: 262 点
积分: 1002 分
贡献值: 0 点
在线时间: 0(时)
注册时间: 2004-05-28
最后登录: 2009-10-23

11楼发表于: 2007-11-27 15:31

只看该作者 | 小中大

//小弟不才,是为了给驱动传送CreateProcess的地址?

DWORD * addr=(DWORD *)(1+(DWORD)GetProcAddress(GetModuleHandle("ntdll.dll"),"NtCreateProcess"));

//这个是清零
ZeroMemory(outputbuff,256);

//??小弟不才,没看懂这句的意思?是为了给驱动传送CreateProcess的地址?
//看驱动中是得到了CreateProcessEx的地址,这个是不是没用的语句?

controlbuff[0]=addr[0];

//下面这句是从4字节后设置成共享内存并发给驱动

controlbuff[1]=xxxx;

驱动程序数字签名证书申请，免费技术支持 全球领先的透明加密开发包DMK登录中国

河北省顶端

回复引用

zjg1979 离线

级别: 驱动牛犊

UID: 159901
精华: 2
发帖: 47
威望: 70 点
积分: 2 分
贡献值: 0 点
在线时间: 0(时)
注册时间: 2006-09-21
最后登录: 2009-09-04

12楼发表于: 2007-11-28 11:43

只看该作者 | 小中大

很棒,学习了

驱动程序数字签名证书申请，免费技术支持 全球领先的透明加密开发包DMK登录中国

四川省成都市顶端

回复引用

sislcb 离线

级别: 驱动牛犊

UID: 152249
精华: 0
发帖: 23
威望: 24 点
积分: 1 分
贡献值: 0 点
在线时间: 0(时)
注册时间: 2006-07-09
最后登录: 2008-09-19

13楼发表于: 2007-11-29 08:47

只看该作者 | 小中大

在禁止了进程运行后，会弹出“不是有效句柄”的错误？请问怎么把这个消息屏蔽掉?

驱动程序数字签名证书申请，免费技术支持 全球领先的透明加密开发包DMK登录中国

Unknown 顶端

回复引用

haoran007 离线

级别: 驱动牛犊

UID: 175781
精华: 0
发帖: 6
威望: 7 点
积分: 2 分
贡献值: 0 点
在线时间: 0(时)
注册时间: 2007-08-06
最后登录: 2009-03-02

14楼发表于: 2007-12-11 18:36

只看该作者 | 小中大

共同学习
一起进步

驱动程序数字签名证书申请，免费技术支持 全球领先的透明加密开发包DMK登录中国

河南省南阳市顶端

回复引用

cuizhany 离线

级别: 驱动牛犊

UID: 183703
精华: 0
发帖: 1
威望: 2 点
积分: 10 分
贡献值: 0 点
在线时间: 0(时)
注册时间: 2007-12-19
最后登录: 2007-12-27

15楼发表于: 2007-12-19 21:21

只看该作者 | 小中大

下来看看学习一下。谢谢

驱动程序数字签名证书申请，免费技术支持 全球领先的透明加密开发包DMK登录中国

Unknown 顶端

回复引用

ENJOYKAKA 离线

级别: 驱动牛犊

UID: 162098
精华: 0
发帖: 15
威望: 16 点
积分: 140 分
贡献值: 0 点
在线时间: 0(时)
注册时间: 2006-10-30
最后登录: 2008-06-25

16楼发表于: 2008-01-08 16:45

只看该作者 | 小中大

和大家一样，顶你一下

驱动程序数字签名证书申请，免费技术支持 全球领先的透明加密开发包DMK登录中国

北京市顶端

回复引用

taxueliuyun 离线

级别: 驱动牛犊

UID: 184585
精华: 0
发帖: 13
威望: 14 点
积分: 0 分
贡献值: 0 点
在线时间: 0(时)
注册时间: 2008-01-05
最后登录: 2009-07-23

17楼发表于: 2008-01-16 15:17

只看该作者 | 小中大

学习了，非常感谢！！！

驱动程序数字签名证书申请，免费技术支持 全球领先的透明加密开发包DMK登录中国

福建省福州市顶端

回复引用

abcd0106 离线

级别: 驱动牛犊

UID: 166524
精华: 0
发帖: 22
威望: 32 点
积分: 211 分
贡献值: 0 点
在线时间: 0(时)
注册时间: 2007-02-21
最后登录: 2009-01-05

18楼发表于: 2008-02-24 12:14

只看该作者 | 小中大

正在学习，谢了

驱动程序数字签名证书申请，免费技术支持 全球领先的透明加密开发包DMK登录中国

电子科技大学顶端

回复引用

xiangfly 离线

级别: 驱动牛犊

UID: 188059
精华: 0
发帖: 9
威望: 10 点
积分: 10 分
贡献值: 0 点
在线时间: 0(时)
注册时间: 2008-03-26
最后登录: 2008-06-02

19楼发表于: 2008-04-01 10:49

只看该作者 | 小中大

驱动程序数字签名证书申请，免费技术支持 全球领先的透明加密开发包DMK登录中国

上海市顶端

回复引用

http://bbs.driverdevelop.com
访问内容超出本站范围，不能确定是否安全
继续访问	取消访问