函数原型:

NTSTATUS PsSetCreateProcessNotifyRoutine(

  _In_ PCREATE_PROCESS_NOTIFY_ROUTINE NotifyRoutine,

  _In_ BOOLEAN                        Remove

);
原文的解释为:The PsSetCreateProcessNotifyRoutine routine adds a driver-supplied callback routine to, or removes it from, a list of

routines to be called whenever a process is created or deleted. 
简单的翻译一下:PsSetCreateProcessNotifyRoutine 例程增加一个"驱动供应"回调例程,在进程创建或消亡的时候回调函数会被调用。
NotifyRoutine为回调指针:
定义为:
VOID

(*PCREATE_PROCESS_NOTIFY_ROUTINE) (

    IN HANDLE  ParentId,

    IN HANDLE  ProcessId,

    IN BOOLEAN  Create

    );
NotifyRoutine [in]

Specifies the entry point of a caller-supplied process-creation callback routine.

Remove [in]

Indicates whether the routine specified by NotifyRoutine should be added to or removed from the system's list of notification routines. If FALSE, the specified routine is added to the list. If TRUE, the specified routine is removed from the list.

如果为FALSE 表示在系统通知例程列表中增加此例程,如果为TRUE标志从系统通知例程列表中删除该例程,
驱动卸载时应该时此参数应该为TRUE;
废话不说了直接上代码框架:

#include <ntddk.h>

VOID UnloadDriver(PDRIVER_OBJECT pDriver);

VOID

CreateProcessRoutineSpy(

	IN HANDLE  ParentId,

	IN HANDLE  ProcessId,

	IN BOOLEAN  Create

	);

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING Registry)

{

	NTSTATUS status = STATUS_SUCCESS;

	UNREFERENCED_PARAMETER(pDriver);

	UNREFERENCED_PARAMETER(Registry);

	KdPrint(("[SysTest] DriverEntry Loading.\n"));

	status = PsSetCreateProcessNotifyRoutine(CreateProcessRoutineSpy, FALSE);

	if (!NT_SUCCESS(status))

	{

		KdPrint(("[SysTest] PsSetCreateProcessNotifyRoutine failed status:(%x).\n", status));

		return status;

	}

	pDriver->DriverUnload = UnloadDriver;

	return status;

}

VOID

CreateProcessRoutineSpy(

	IN HANDLE  ParentId,

	IN HANDLE  ProcessId,

	IN BOOLEAN  Create

	)

{

	if (Create)

	{

		KdPrint(("[SysTest] Process Created. ParentId:(%d) ProcessId:(%d).\n", ParentId, ProcessId));

	}

	else

	{

		KdPrint(("[SysTest] Process Terminated ProcessId:(%d).ParentId:(%d) .\n", ProcessId, ParentId));

	}

	return;

}

VOID UnloadDriver(PDRIVER_OBJECT pDriver)

{

	UNREFERENCED_PARAMETER(pDriver);

	NTSTATUS status;

	status = PsSetCreateProcessNotifyRoutine(CreateProcessRoutineSpy, TRUE);

	if (NT_SUCCESS(status))

	{

		KdPrint(("[SysTest] UnloadDriver.\n"));

	}

	return;

}

Dbgview查看结果:

可以看到每当有一个进程创建的时候就会被回调函数监视到,在这里我们打印出进程的ID和父进程的ID,每当一个进程消亡时也将其ID打印出来。这个简单的进程监视框架就做好了。

扩展 CreateProcessNotifyEx
PsSetCreateProcessNotifyRoutine只能记录进程创建或消亡,不能阻止进程的创建,
PsSetCreateProcessNotifyRoutineEx可以阻止进程的创建,先看一下相关函数:

注册函数:
NTSTATUS PsSetCreateProcessNotifyRoutineEx(

  _In_ PCREATE_PROCESS_NOTIFY_ROUTINE_EX  NotifyRoutine,

  _In_ BOOLEAN  Remove

);

回调函数:
VOID
  CreateProcessNotifyEx(
    __inout PEPROCESS  Process,
    __in HANDLE  ProcessId,
    __in_opt PPS_CREATE_NOTIFY_INFO  CreateInfo
    );

可知,回调函数有所变化,在回调函数中,CreateInfo为NULL时,表示一个进程在结束,否则为进程创建,看一下CreateInfo结构:

typedef struct _PS_CREATE_NOTIFY_INFO {
    _In_ SIZE_T Size;
    union {
        _In_ ULONG Flags;
        struct {
            _In_ ULONG FileOpenNameAvailable : 1;
            _In_ ULONG Reserved : 31;
        };
    };
    _In_ HANDLE ParentProcessId;      //父进程ID
    _In_ CLIENT_ID CreatingThreadId;   //父进程信息  ,包括父进程ID,父进程的主线程ID
    _Inout_ struct _FILE_OBJECT *FileObject;    //进程有关的文件对象
    _In_ PCUNICODE_STRING ImageFileName;   //进程名
    _In_opt_ PCUNICODE_STRING CommandLine; //进程命令行参数,有时候为NULL
    _Inout_ NTSTATUS CreationStatus;//返回结果,修改这个结果可以改变进程的创建
} PS_CREATE_NOTIFY_INFO, *PPS_CREATE_NOTIFY_INFO;

现在举一例,利用此回调来阻止记事本的创建:

#include <ntddk.h>

VOID UnloadDriver(PDRIVER_OBJECT driver);

VOID

CreateProcessNotifyEx(

	__inout PEPROCESS  Process,

	__in HANDLE  ProcessId,

	__in_opt PPS_CREATE_NOTIFY_INFO  CreateInfo

	);

BOOLEAN bSuccess = FALSE;

NTSTATUS DriverEntry(PDRIVER_OBJECT driver, PUNICODE_STRING registry)

{

	NTSTATUS status = STATUS_UNSUCCESSFUL;

	UNREFERENCED_PARAMETER(registry);

	KdPrint(("[systest] Driver Loading.\n"));

	driver->DriverUnload = UnloadDriver;

	status = PsSetCreateProcessNotifyRoutineEx(CreateProcessNotifyEx, FALSE);

	if (!NT_SUCCESS(status))

	{

		KdPrint(("[systest] PsSetCreateProcessNotifyRoutineEx error code:(%x).\n", status));

		return status;

	}

	bSuccess = TRUE;

	return status;

}

VOID

	CreateProcessNotifyEx(

	__inout PEPROCESS  Process,

	__in HANDLE  ProcessId,

	__in_opt PPS_CREATE_NOTIFY_INFO  CreateInfo

	)

{

	UNREFERENCED_PARAMETER(ProcessId);

	UNREFERENCED_PARAMETER(Process);

	PWCHAR pSub = NULL;

        //为NULL表示进程退出

	if (NULL == CreateInfo)

	{

		DbgPrint(("[systest]:process exits.\n"));

		return;

	}

	KdPrint(("[systest]process create:(%wZ).\n", CreateInfo->ImageFileName));

	pSub = wcswcs(CreateInfo->ImageFileName->Buffer, L"notepad.exe");

	if (NULL != pSub)

	{

                //修改返回结果为拒绝访问,使得创建进程失败

		CreateInfo->CreationStatus = STATUS_ACCESS_DENIED;

	}

	return;

}

VOID UnloadDriver(PDRIVER_OBJECT driver)

{

	UNREFERENCED_PARAMETER(driver);

	KdPrint(("[systest]:driver unload.\n"));

	if (bSuccess)

	{

		PsSetCreateProcessNotifyRoutineEx(CreateProcessNotifyEx, TRUE);

	}

	return;

}

需要注意的是,PsSetCreateProcessNotifyRoutineEx编译的时候可能会出现拒绝访问,解决办法是在工程属性中的连接器-->CommandLine,添加“/IntegrityCheck ”即可。

进程监控驱动 PsSetCreateProcessNotifyRoutine的更多相关文章

  1. 【SFTP】使用Jsch实现Sftp文件下载-支持断点续传和进程监控

    参考上篇文章: <[SFTP]使用Jsch实现Sftp文件下载-支持断点续传和进程监控>:http://www.cnblogs.com/ssslinppp/p/6248763.html  ...

  2. linux 进程监控

    linux 进程监控 supervise Supervise是daemontools的一个工具,可以用来监控管理unix下的应用程序运行情况,在应用程序出现异常时,supervise可以重新启动指定程 ...

  3. linux 进程监控和自动重启的简单实现

    目的:linux 下服务器程序会因为各种原因dump掉,就会影响用户使用,这里提供一个简单的进程监控和重启功能. 实现原理:由定时任务crontab调用脚本,脚本用ps检查进程是否存在,如果不存在则重 ...

  4. linux 进程监控和自动重启的简单实现(转)

    目的:linux 下服务器程序会因为各种原因dump掉,就会影响用户使用,这里提供一个简单的进程监控和重启功能. 实现原理:由定时任务crontab调用脚本,脚本用ps检查进程是否存在,如果不存在则重 ...

  5. Prometheus — Process-exporter进程监控

    由于我们常用的node_exporter并不能覆盖所有监控项,这里我们使用Process-exporter 对进程进行监控. 安装process-exporter wget https://githu ...

  6. linux驱动编写之进程独占驱动

    一.描述 嵌入式开发系统中,有各种硬件资源,而有些硬件资源使用时候是需要进程独占的.也就是说,同一时刻只有一个进程允许使用这个硬件资源,其他的进程只能放弃执行或者挂起等待.在设计其对应驱动的时候,就需 ...

  7. Zabbix4.0添加端口和进程监控

    一:Zabbix设置主动模式: vim /etc/zabbix/zabbix_agent.conf Server=192.168.1.10 #被动模式的serverip地址,如果设置纯被动模式,可以注 ...

  8. 【321】python进程监控:psutil

    参考:Python进程监控-MyProcMonitor 参考:Python3.6 安装psutil 模块和功能简介 参考:psutil module (Download files) 参考:廖雪峰 - ...

  9. Windows下tomcat进程监控批处理程序

    在Windows下tomcat进程监控批处理程序脚本如下: @echo off ::tomcat安装目录 set _tomcatDir=E:\myFiles\apache-tomcat-8.5.31 ...

随机推荐

  1. java基础编程题(2)

    1.给定一个二叉树,找出其最大深度. 注:二叉树的深度为根节点到最远叶子节点的最长路径上的节点数. /** * Definition for a binary tree node. * public ...

  2. Redis消息订阅与发布

    监听器的创建 package com.sogou.baike.testimport.testSubscribe; import redis.clients.jedis.JedisPubSub; pub ...

  3. web应用本质

    web应用的本质 在之前学习的socket网络编程中,是基于: 架构:C/S架构 协议:TCP/UDP协议 运行在OSI七层模型中的传输层 那么在web应用中,是基于: 架构:B/S架构 协议:Htt ...

  4. iOS开发UIEvent事件简介

    1.UIEvent简介 UIEvent是代表iOS系统中的一个事件,一个事件包含一个或多个的UITouch: UIEvent分为四类: UIEventType typedef NS_ENUM(NSIn ...

  5. 深入理解 js为什么没有函数重载,如何实现函数重载?

    我的新博客 http://www.suanliutudousi.com/2017/08/24/%E6%B7%B1%E5%85%A5%E7%90%86%E8%A7%A3-js%E4%B8%BA%E4%B ...

  6. LightOJ 1341 - Aladdin and the Flying Carpet

    题目链接:http://lightoj.com/volume_showproblem.php?problem=1341 题意:给你地毯面积和最小可能边的长度,让你求有几种组合的可能. 题解:这题就厉害 ...

  7. _IRP struct

    Windows XP x86 +0x000 Type : Int2B +0x002 Size : Uint2B +0x004 MdlAddress : Ptr32 _MDL +0x000 Next : ...

  8. Linux系统搭建Red5服务器

    Linux系统搭建Red5服务器 Red5 是 支持Windows,Linux等多平台的RTMP流媒体服务器,Windows下搭建相对容易,图形界面操作比较简单,Linux服务器的环境下没有图形界面, ...

  9. PHP出现报警后需要修改 date.timezone 的值(php.ini)

    PHP调试的时候出现了警告: It is not safe to rely on the system解决方法,其实就是时区设置不正确造成的,本文提供了3种方法来解决这个问题. 实际上,从PHP 5. ...

  10. 360自动抢票还不够,几行js代码设置无人值守

    360就是牛逼哄哄的...... 但是最近在使用360浏览器抢票的时候还是发现了一些体验不好的地方,比如搞着搞着就退出了登录,有时候能帮你自动登录进去,但是自动登录之后又不会帮你自动开始抢.然后验证码 ...