函数原型:

NTSTATUS PsSetCreateProcessNotifyRoutine(

  _In_ PCREATE_PROCESS_NOTIFY_ROUTINE NotifyRoutine,

  _In_ BOOLEAN                        Remove

);
原文的解释为:The PsSetCreateProcessNotifyRoutine routine adds a driver-supplied callback routine to, or removes it from, a list of

routines to be called whenever a process is created or deleted. 
简单的翻译一下:PsSetCreateProcessNotifyRoutine 例程增加一个"驱动供应"回调例程,在进程创建或消亡的时候回调函数会被调用。
NotifyRoutine为回调指针:
定义为:
VOID

(*PCREATE_PROCESS_NOTIFY_ROUTINE) (

    IN HANDLE  ParentId,

    IN HANDLE  ProcessId,

    IN BOOLEAN  Create

    );
NotifyRoutine [in]

Specifies the entry point of a caller-supplied process-creation callback routine.

Remove [in]

Indicates whether the routine specified by NotifyRoutine should be added to or removed from the system's list of notification routines. If FALSE, the specified routine is added to the list. If TRUE, the specified routine is removed from the list.

如果为FALSE 表示在系统通知例程列表中增加此例程,如果为TRUE标志从系统通知例程列表中删除该例程,
驱动卸载时应该时此参数应该为TRUE;
废话不说了直接上代码框架:

#include <ntddk.h>

VOID UnloadDriver(PDRIVER_OBJECT pDriver);

VOID

CreateProcessRoutineSpy(

	IN HANDLE  ParentId,

	IN HANDLE  ProcessId,

	IN BOOLEAN  Create

	);

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING Registry)

{

	NTSTATUS status = STATUS_SUCCESS;

	UNREFERENCED_PARAMETER(pDriver);

	UNREFERENCED_PARAMETER(Registry);

	KdPrint(("[SysTest] DriverEntry Loading.\n"));

	status = PsSetCreateProcessNotifyRoutine(CreateProcessRoutineSpy, FALSE);

	if (!NT_SUCCESS(status))

	{

		KdPrint(("[SysTest] PsSetCreateProcessNotifyRoutine failed status:(%x).\n", status));

		return status;

	}

	pDriver->DriverUnload = UnloadDriver;

	return status;

}

VOID

CreateProcessRoutineSpy(

	IN HANDLE  ParentId,

	IN HANDLE  ProcessId,

	IN BOOLEAN  Create

	)

{

	if (Create)

	{

		KdPrint(("[SysTest] Process Created. ParentId:(%d) ProcessId:(%d).\n", ParentId, ProcessId));

	}

	else

	{

		KdPrint(("[SysTest] Process Terminated ProcessId:(%d).ParentId:(%d) .\n", ProcessId, ParentId));

	}

	return;

}

VOID UnloadDriver(PDRIVER_OBJECT pDriver)

{

	UNREFERENCED_PARAMETER(pDriver);

	NTSTATUS status;

	status = PsSetCreateProcessNotifyRoutine(CreateProcessRoutineSpy, TRUE);

	if (NT_SUCCESS(status))

	{

		KdPrint(("[SysTest] UnloadDriver.\n"));

	}

	return;

}

Dbgview查看结果:

可以看到每当有一个进程创建的时候就会被回调函数监视到,在这里我们打印出进程的ID和父进程的ID,每当一个进程消亡时也将其ID打印出来。这个简单的进程监视框架就做好了。

扩展 CreateProcessNotifyEx
PsSetCreateProcessNotifyRoutine只能记录进程创建或消亡,不能阻止进程的创建,
PsSetCreateProcessNotifyRoutineEx可以阻止进程的创建,先看一下相关函数:

注册函数:
NTSTATUS PsSetCreateProcessNotifyRoutineEx(

  _In_ PCREATE_PROCESS_NOTIFY_ROUTINE_EX  NotifyRoutine,

  _In_ BOOLEAN  Remove

);

回调函数:
VOID
  CreateProcessNotifyEx(
    __inout PEPROCESS  Process,
    __in HANDLE  ProcessId,
    __in_opt PPS_CREATE_NOTIFY_INFO  CreateInfo
    );

可知,回调函数有所变化,在回调函数中,CreateInfo为NULL时,表示一个进程在结束,否则为进程创建,看一下CreateInfo结构:

typedef struct _PS_CREATE_NOTIFY_INFO {
    _In_ SIZE_T Size;
    union {
        _In_ ULONG Flags;
        struct {
            _In_ ULONG FileOpenNameAvailable : 1;
            _In_ ULONG Reserved : 31;
        };
    };
    _In_ HANDLE ParentProcessId;      //父进程ID
    _In_ CLIENT_ID CreatingThreadId;   //父进程信息  ,包括父进程ID,父进程的主线程ID
    _Inout_ struct _FILE_OBJECT *FileObject;    //进程有关的文件对象
    _In_ PCUNICODE_STRING ImageFileName;   //进程名
    _In_opt_ PCUNICODE_STRING CommandLine; //进程命令行参数,有时候为NULL
    _Inout_ NTSTATUS CreationStatus;//返回结果,修改这个结果可以改变进程的创建
} PS_CREATE_NOTIFY_INFO, *PPS_CREATE_NOTIFY_INFO;

现在举一例,利用此回调来阻止记事本的创建:

#include <ntddk.h>

VOID UnloadDriver(PDRIVER_OBJECT driver);

VOID

CreateProcessNotifyEx(

	__inout PEPROCESS  Process,

	__in HANDLE  ProcessId,

	__in_opt PPS_CREATE_NOTIFY_INFO  CreateInfo

	);

BOOLEAN bSuccess = FALSE;

NTSTATUS DriverEntry(PDRIVER_OBJECT driver, PUNICODE_STRING registry)

{

	NTSTATUS status = STATUS_UNSUCCESSFUL;

	UNREFERENCED_PARAMETER(registry);

	KdPrint(("[systest] Driver Loading.\n"));

	driver->DriverUnload = UnloadDriver;

	status = PsSetCreateProcessNotifyRoutineEx(CreateProcessNotifyEx, FALSE);

	if (!NT_SUCCESS(status))

	{

		KdPrint(("[systest] PsSetCreateProcessNotifyRoutineEx error code:(%x).\n", status));

		return status;

	}

	bSuccess = TRUE;

	return status;

}

VOID

	CreateProcessNotifyEx(

	__inout PEPROCESS  Process,

	__in HANDLE  ProcessId,

	__in_opt PPS_CREATE_NOTIFY_INFO  CreateInfo

	)

{

	UNREFERENCED_PARAMETER(ProcessId);

	UNREFERENCED_PARAMETER(Process);

	PWCHAR pSub = NULL;

        //为NULL表示进程退出

	if (NULL == CreateInfo)

	{

		DbgPrint(("[systest]:process exits.\n"));

		return;

	}

	KdPrint(("[systest]process create:(%wZ).\n", CreateInfo->ImageFileName));

	pSub = wcswcs(CreateInfo->ImageFileName->Buffer, L"notepad.exe");

	if (NULL != pSub)

	{

                //修改返回结果为拒绝访问,使得创建进程失败

		CreateInfo->CreationStatus = STATUS_ACCESS_DENIED;

	}

	return;

}

VOID UnloadDriver(PDRIVER_OBJECT driver)

{

	UNREFERENCED_PARAMETER(driver);

	KdPrint(("[systest]:driver unload.\n"));

	if (bSuccess)

	{

		PsSetCreateProcessNotifyRoutineEx(CreateProcessNotifyEx, TRUE);

	}

	return;

}

需要注意的是,PsSetCreateProcessNotifyRoutineEx编译的时候可能会出现拒绝访问,解决办法是在工程属性中的连接器-->CommandLine,添加“/IntegrityCheck ”即可。

进程监控驱动 PsSetCreateProcessNotifyRoutine的更多相关文章

  1. 【SFTP】使用Jsch实现Sftp文件下载-支持断点续传和进程监控

    参考上篇文章: <[SFTP]使用Jsch实现Sftp文件下载-支持断点续传和进程监控>:http://www.cnblogs.com/ssslinppp/p/6248763.html  ...

  2. linux 进程监控

    linux 进程监控 supervise Supervise是daemontools的一个工具,可以用来监控管理unix下的应用程序运行情况,在应用程序出现异常时,supervise可以重新启动指定程 ...

  3. linux 进程监控和自动重启的简单实现

    目的:linux 下服务器程序会因为各种原因dump掉,就会影响用户使用,这里提供一个简单的进程监控和重启功能. 实现原理:由定时任务crontab调用脚本,脚本用ps检查进程是否存在,如果不存在则重 ...

  4. linux 进程监控和自动重启的简单实现(转)

    目的:linux 下服务器程序会因为各种原因dump掉,就会影响用户使用,这里提供一个简单的进程监控和重启功能. 实现原理:由定时任务crontab调用脚本,脚本用ps检查进程是否存在,如果不存在则重 ...

  5. Prometheus — Process-exporter进程监控

    由于我们常用的node_exporter并不能覆盖所有监控项,这里我们使用Process-exporter 对进程进行监控. 安装process-exporter wget https://githu ...

  6. linux驱动编写之进程独占驱动

    一.描述 嵌入式开发系统中,有各种硬件资源,而有些硬件资源使用时候是需要进程独占的.也就是说,同一时刻只有一个进程允许使用这个硬件资源,其他的进程只能放弃执行或者挂起等待.在设计其对应驱动的时候,就需 ...

  7. Zabbix4.0添加端口和进程监控

    一:Zabbix设置主动模式: vim /etc/zabbix/zabbix_agent.conf Server=192.168.1.10 #被动模式的serverip地址,如果设置纯被动模式,可以注 ...

  8. 【321】python进程监控:psutil

    参考:Python进程监控-MyProcMonitor 参考:Python3.6 安装psutil 模块和功能简介 参考:psutil module (Download files) 参考:廖雪峰 - ...

  9. Windows下tomcat进程监控批处理程序

    在Windows下tomcat进程监控批处理程序脚本如下: @echo off ::tomcat安装目录 set _tomcatDir=E:\myFiles\apache-tomcat-8.5.31 ...

随机推荐

  1. NOIp2018集训test-9-6(pm)

    T1T2是洛谷原题.Orz辉神290,被辉神吊起来打. 题 1 包裹快递 二分答案.这题似乎卡精度,不开long double二分500次都过不去. //Achen #include<algor ...

  2. <Java编程思想>读书笔记(1)-对象导论、一切都是对象

    1.面向对象编程:OOP (Object-oriented Programming) 2.Alan Kay 总结的面向对象语言5个基本特性: 1) 万物皆为对象 2) 程序是对象的集合,他们通过发送消 ...

  3. 数据结构C++版-图

    一.概念及分类 二.图的存储结构 1.邻接矩阵 顶点: 弧: 边: 表达式语句: 2.邻接表 逆邻接表: 3.十字链表 4.邻接多重表 三.图的权值概念及遍历 权值: 图的遍历: 1.深度优先搜索 2 ...

  4. springmvc静态资源;mvc:default-servlet-handler后Controller失效

    springmvc静态资源;mvc:default-servlet-handler后Controller失效 web.xml配置<url-pattern>/</url-pattern ...

  5. Spring源码由浅入深系列二 类结构

    BeanFactory 上一章中,我们提过Spring的依赖注入容器是BeanFactory.BeanFactory是一个基础接口,它有一个默认实现类:DefaultListableBeanFacto ...

  6. gvim 安装YouCompleteMe插件

    可以参考:YouCompleteMe#full-installation-guide 可以直接下载: http://pan.baidu.com/s/1dDIq2Al 密码: si5q 确保vim支持p ...

  7. AtCoder ABC 127F Absolute Minima

    题目链接:https://atcoder.jp/contests/abc127/tasks/abc127_f 题目大意 初始状态下$f(x) = 0$,现在有 2 种模式的询问,第一种以“1 a b” ...

  8. this 关键字的使用及说明

    this 是Java 中常见的一个关键字,它的主要作用是引用类的当前实例,本篇文章主要介绍 this 关键字的几种使用情况. 1. this 调用当前类的变量,也就是类中的成员变量. 代码示例: pu ...

  9. L1正则化可以解决过拟合问题(稀疏解)

    损失函数最小,也就是求极值点,也就是损失函数导数为0.上面也说了,如果d0+λ和d0-λ为异号的时候刚好为极值点,损失函数导数为0(w为0是条件).而对于L2正则化,在w=0时并不一定是极值点而是d0 ...

  10. 创建一个学生表student,默认的表空间为users,字段自定,同时为表的各个字段分别添加合适的约束,然后测试约束的验证状态。

    create table student(id number(4) constraint prim_key primary key,name varchar(8) not null,sex varch ...