寻找一个vista之前系统阻止进程创建好的思路方法

284406022 · 发表于 2016-6-22 23:13:45

管理教程里的创建进程回调PsSetCreateProcessNotifyRoutineEx是vista之后系统才有的函数,但是如果想在vista之前的系统阻止创建进程呢?
我所能想到:
1.PsSetCreateProcessNotifyRoutine进程回调,得到Pid->handle->关闭进程
2.hook NtCreateProcessEx 或 NtCreateUserProcess ?

可能是我有点强迫症吧,想收集一个更好的办法,个人是不怎么喜欢ssdt-hook的,不到万不得已的情况才用hook,希望有好的方法共享下,由衷感谢~!

Tesla.Angela · 发表于 2016-6-23 18:50:28

试试在LoadImageNotify里阻止PE镜像加载。

tangptr@126.com · 发表于 2016-6-23 20:03:28

我一直觉得Hook不麻烦，请叫我Hook小王子，嘿嘿。
驱动里反创建进程方法很多嘞。Hook什么函数都是可以的，比如PspCreateProcess，ObCreateObject，MmCreateSection。你甚至可以无聊到禁止读取文件。

284406022 · 发表于 2016-6-23 21:10:56

tangptr@126.com 发表于 2016-6-23 20:03
我一直觉得Hook不麻烦，请叫我Hook小王子，嘿嘿。
驱动里反创建进程方法很多嘞。Hook什么函数都是可以的， ...

呵呵,hook小王子

284406022 · 发表于 2016-6-23 21:11:48

tangptr@126.com 发表于 2016-6-23 20:03
我一直觉得Hook不麻烦，请叫我Hook小王子，嘿嘿。
驱动里反创建进程方法很多嘞。Hook什么函数都是可以的， ...

今天我在看雪看到了一篇hook NtCreateSetion阻止进程创建的贴

284406022 · 发表于 2016-6-23 21:19:28

Tesla.Angela 发表于 2016-6-23 18:50
试试在LoadImageNotify里阻止PE镜像加载。

这个方法倒没试过,明天试试看看哈

帐号		自动登录	找回密码
密码			加入我们