内核阻塞与用户态交互问题，求助

ywledoc

最近做毕设，要完成个功能。

就是r3进程recv或者send后，r0要阻塞，等待r3选择允许还是拒绝后，r0再继续操作。
类似于一个进程创建，你是允许还是拒绝，360那种。

主要是在多进程环境下。。没什么好办法。。用waitforsingleobject的话。
如果只有一个event的话，多进程就乱 了，又不想多个Event。

Tesla.Angela

你是不是要做HIPS啊。。。发给你一个XACKER做的例子。。。

话说这代码里有暗桩，直接COPY会蓝。。。

364589886

FltSendMessage
FilterGetMessage
FilterReplyMessage
这个是MS包装过的
或者，直接使用ZwXXXXXXPort那套东西。。。。不过这个没文档。。。。ZwXXXXXPort貌似就是之前一个叫滕XXX的问过，他非得认为这些函数是与网络通信相关的。。。。实际上这套接口有个统一的名字。。。LPC，Local Process Communication

Tesla.Angela

364589886 发表于 2012-4-2 19:21
FltSendMessage
FilterGetMessage
FilterReplyMessage

腾袭认为NtDeviceIoControl跟网络访问有关，你不赞同。

不过我看了『36蛋』那个最NB工程师在KX的一篇文章，证明了网络访问确实是跟NtDeviceIoControl有关系。

364589886

你搞反了吧…当时是我在解释时说的…deviceioctl才是网络通讯的…而且…这个没啥好证明的…网络通讯确实就是devicectl
只是那人当时不是说的zw系列…他说的NtXXXPort那套函数…

364589886

而且这套port，确实很好用…ms自己的服务管理器，就是通过这套接口管理服务的…比如你要做服务保护，也就是禁止某某服务被停止…方式之一就是挂钩这套函数，然后对名为ntsvc的port的消息进行分析就好了

Tesla.Angela

364589886 发表于 2012-4-3 16:35
而且这套port，确实很好用…ms自己的服务管理器，就是通过这套接口管理服务的…比如你要做服务保护，也就是 ...

话说，我分析不出来NtRequestWaitReplyPort里名为ntsvc的port消息，你能具体说说吗？

364589886

sb666 发表于 2012-4-3 19:08
lpc貌似还是最终用到共享内存吧？效率不一定比其他高。而且要声明一堆乱七八糟的东西
难道大家专门喜欢用 ...

呵。。。。你最好先搞清楚LPC机制。。。。你从哪里知道它用的共享内存的？猜得？你又怎么确定共享内存就效率底？你试验过？

364589886

Tesla.Angela 发表于 2012-4-3 16:39
话说，我分析不出来NtRequestWaitReplyPort里名为ntsvc的port消息，你能具体说说吗？ ...

http://www.debugman.com/thread/5279/1/1

呵。。。。本来我这里有整个的服务保护的代码。。。。而且是国内“某知名安全软件”正在使用的代码。。。。但是出于职业道德和安全考虑，不能放出来。。。。但是原理也就是我说的这个。。大家多windbg一下。。。基本也就明白了。。。。。有没有代码无所谓了。
主要是学习思路，明白了原理，有了思路。。。代码就无所谓了。。。而且这些也不是什么新的高深技术，别人都用烂了的东西

ywledoc

Tesla.Angela 发表于 2012-3-29 21:34
你是不是要做HIPS啊。。。发给你一个XACKER做的例子。。。

话说这代码里有暗桩，直接COPY会蓝。。。 ...

谢谢源码～

ywledoc

谢谢TA的源码，还有364589886给的那些函数。第一次见过。
还有。。你们是不是扯的有点远？