PsSetCreateProcessNotifyRoutineEx进程监控框架

vs设置：“项目-属性-链接器-命令行”位置添加 /INTEGRITYCHECK 即可，不然注册回调的时候会失败
参考：https://xiaodaozhi.com/kernel/18.html

#include <ntddk.h>typedef NTSTATUS (*PPsSetCreateProcessNotifyRoutineEx)(
_In_ PCREATE_PROCESS_NOTIFY_ROUTINE_EX NotifyRoutine,
_In_ BOOLEAN Remove
);PPsSetCreateProcessNotifyRoutineEx pPsSetCreateProcessNotifyRoutineEx = NULL;
BOOLEAN bRegister = FALSE;VOID CreateProcessNotifyEx(_Inout_  PEPROCESS              Process,_In_     HANDLE                 ProcessId,_In_opt_ PPS_CREATE_NOTIFY_INFO CreateInfo)
{HANDLE hParentId = NULL;HANDLE    hParentThreadId = NULL;HANDLE  hCurrentThreadId = NULL;hCurrentThreadId = PsGetCurrentThreadId();if (CreateInfo == NULL){DbgPrint("ProcessDestory ThreadID[%d]", hCurrentThreadId);return;}hParentId = CreateInfo->CreatingThreadId.UniqueProcess;hParentThreadId = CreateInfo->CreatingThreadId.UniqueThread;DbgPrint("CreateProcess ParentID[%d] Name:%wZ", hParentId, CreateInfo->ImageFileName);return;}NTSTATUS    Unload(PDRIVER_OBJECT driver)
{DbgPrint("unload driver");if (bRegister && pPsSetCreateProcessNotifyRoutineEx){pPsSetCreateProcessNotifyRoutineEx(CreateProcessNotifyEx, TRUE);bRegister = FALSE;}return STATUS_SUCCESS;
}NTSTATUS   DriverEntry(PDRIVER_OBJECT  driver, PUNICODE_STRING RegPath)
{DbgPrint("Driver Entry");driver->DriverUnload = Unload;do{UNICODE_STRING uFunName = { 0 };RtlInitUnicodeString(&uFunName, L"PsSetCreateProcessNotifyRoutineEx");pPsSetCreateProcessNotifyRoutineEx = (PPsSetCreateProcessNotifyRoutineEx)MmGetSystemRoutineAddress(&uFunName);if (pPsSetCreateProcessNotifyRoutineEx == NULL){DbgPrint("GetSetCreateProcessNotif Failed");break;}if (STATUS_SUCCESS != pPsSetCreateProcessNotifyRoutineEx(CreateProcessNotifyEx, FALSE)){DbgPrint("Register Process Notify Failed");break;}bRegister = TRUE;DbgPrint("Register Process Notify Success");} while (FALSE);return STATUS_SUCCESS;
}

PsSetCreateProcessNotifyRoutineEx进程监控框架相关推荐

Docker监控：基于阿里云容器服务构建自己的Docker监控框架
微服务架构通过将一个复杂系统分解成一系列独立开发.部署和运维的服务,提升了整个系统的敏捷性,可以灵活的响应业务和规模的变化.而Docker技术则将服务的部署和环境完全解耦,利用Docker的可移植性和 ...
linux里进程监控和自动重启,Linux - linux进程监控和自动重启的简单实现
linux进程监控和自动重启的简单实现目的:linux 下服务器程序会由于各类缘由dump掉,就会影响用户使用,这里提供一个简单的进程监控和重启功能.linux 实现原理:由定时任务crontab调 ...
bat php 监控网站,HTML_进程监控实现代码[vbs+bat]，运行后会在%windir%\system32\目录 - phpStudy...
进程监控实现代码[vbs+bat] 运行后会在%windir%\system32\目录下生成jk.vbs, 并且自动添加注册表启动项,另外在D:\会生成一个隐藏属性的JK.VBS, 3秒间隔监控进程, ...
AIX进程监控与管理
AIX进程监控与管理一, PS命令 1.1 显示10个消耗cpu最多的进程 1.2 显示10个消耗存储空间最多的进程 1.3 按顺序显示系统中受罚的进程: 1.4 按照优先级顺序显示系统中的进程 1 ...
shell实现简单的进程监控脚本
一个简单的需求:shell实现进程监控watchdog功能,配合计划任务每分钟执行一次shell脚本,对进程进行监控,如果意外中断那么启动他,如果正常则什么都不需要去做. #!/bin/bash NA ...
linux进程看门狗使用方式,Linux系统中基于看门狗的精细化进程监控方法及系统的制作方法...
Linux系统中基于看门狗的精细化进程监控方法及系统的制作方法 [技术领域] [0001] 本发明涉及Linux系统的进程监控技术领域,特别是涉及一种Linux系统中基于看门狗的精细化进程监控方法及 ...
linux 进程监控和自动重启的简单实现
目的:linux 下服务器程序会因为各种原因dump掉,就会影响用户使用,这里提供一个简单的进程监控和重启功能. 实现原理:由定时任务crontab调用脚本,脚本用ps检查进程是否存在,如果不存在则重 ...
python进程监控 supervisor_使用Python的Supervisor进行进程监控以及自动启动
做服务器端开发的同学应该都对进程监控不会陌生,最近恰好要更换 uwsgi 为 gunicorn,而gunicorn又恰好有这么一章讲进程监控,所以多研究了下. 结合之前在腾讯工作的经验,也会讲讲腾讯的 ...
linux下进程监控6,Linux进程监控技术—精通软件性能测试与LoadRunner最佳实战（6）...
8.2.5 Linux操作系统进程监控技术 Linux在进程监控方面同样出色,不仅可以通过图形用户界面的管理工具,还可以用命令方式显示进程相关信息.像"Windows的任务管理器" ...

PsSetCreateProcessNotifyRoutineEx进程监控框架

PsSetCreateProcessNotifyRoutineEx进程监控框架相关推荐

最新文章

热门文章