驱动层阻止进程的创建
问题:1 .
怎么在 驱动层阻止进程的创建 需要支持XP到Win10,及X86,X64系统
最好是还能知道被创建进程的父进程
2.
网上有现在的免费代码不?
通过PsSetCreateProcessNotifyRoutineEx来创建回调,可兼容Vista-Win10,至于XP和2K3,只能用比较次的PsCreateProcessNotifyRoutine来创建回调(这种回调信息太少,前者比较多)。网上有免费的代码,但是你这第二个问题给人的感觉就是你不想动脑子,尤其是前者的方法论坛上就有。 看我WIN64教程的第4章。
或者这个贴:http://www.m5home.com/bbs/thread-8293-1-1.html tangptr@126.com 发表于 2016-3-24 12:36
通过PsSetCreateProcessNotifyRoutineEx来创建回调,可兼容Vista-Win10,至于XP和2K3,只能用比较次的PsCre ...
PsSetCreateProcessNotifyRoutineEx PsCreateProcessNotifyRoutine
这些只有监控的功能吧,好像没有阻止的功能吧 你都说了有监控的功能了,难道不能阻止吗?难道你不知道监控=既能看又能管吗? tangptr@126.com 发表于 2016-3-24 20:38
你都说了有监控的功能了,难道不能阻止吗?难道你不知道监控=既能看又能管吗? ...
好吧,多谢哥们,我只用过它记录进程的创建与退出,没有用它阻止过!
哥们很牛B啊。
页:
[1]