[原创总结]WIN64平台上的无HOOK过滤技术

Tesla.Angela

转贴请注明出处：http://www.m5home.com/bbs/thread-7832-1-1.html
原作者：Tesla.Angela

最近越来越多人讨论WIN64了，但在我的群里，总有些人抱怨WIN64不能HOOK，让人如何如何不爽。
因此，我决定发帖说明一下WIN64上的过滤技术，让更多的人了解如何在WIN64上实现进程行为的监控和拦截。

1.进程创建/退出：PsSetCreateProcessNotifyRoutine(Ex)
2.线程创建/退出：PsSetCreateThreadNotifyRoutine
3.驱动/动态库加载：PsSetLoadImageNotifyRoutine
4.打开进程/线程：ObRegisterCallbacks
5.读写注册表：CmRegisterCallback
6.读写文件：MiniFilter
7.访问网络：WFP / NDIS FILTER
8.修改系统时间：ExRegisterCallback（只能监视不能控制）
9.关机：IoRegisterShutdownNotification / IoRegisterLastChanceShutdownNotification（貌似只能监视不能控制）
10.蓝屏：KeRegisterBugCheckCallback（貌似只能监视不能控制）

lsj_pro

不 错 ，不 错

rumblemomo

这东西好  正需要~~~~~

wonderzdh

比较全面了，ta写的东西都很实用

andylau004

都是干货。


{:soso_e179:}