寻找一个vista之前系统阻止进程创建好的思路方法
管理教程里的创建进程回调PsSetCreateProcessNotifyRoutineEx是vista之后系统才有的函数,但是如果想在vista之前的系统阻止创建进程呢?我所能想到:
1.PsSetCreateProcessNotifyRoutine进程回调,得到Pid->handle->关闭进程
2.hook NtCreateProcessEx 或 NtCreateUserProcess?
可能是我有点强迫症吧,想收集一个更好的办法,个人是不怎么喜欢ssdt-hook的,不到万不得已的情况才用hook,希望有好的方法共享下,由衷感谢~! 试试在LoadImageNotify里阻止PE镜像加载。 我一直觉得Hook不麻烦,请叫我Hook小王子,嘿嘿。
驱动里反创建进程方法很多嘞。Hook什么函数都是可以的,比如PspCreateProcess,ObCreateObject,MmCreateSection。你甚至可以无聊到禁止读取文件。 tangptr@126.com 发表于 2016-6-23 20:03
我一直觉得Hook不麻烦,请叫我Hook小王子,嘿嘿。
驱动里反创建进程方法很多嘞。Hook什么函数都是可以的, ...
呵呵,hook小王子 tangptr@126.com 发表于 2016-6-23 20:03
我一直觉得Hook不麻烦,请叫我Hook小王子,嘿嘿。
驱动里反创建进程方法很多嘞。Hook什么函数都是可以的, ...
今天我在看雪看到了一篇hookNtCreateSetion阻止进程创建的贴 Tesla.Angela 发表于 2016-6-23 18:50
试试在LoadImageNotify里阻止PE镜像加载。
这个方法倒没试过,明天试试看看哈
页:
[1]