设为首页收藏本站
切换到窄版

 找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛»论坛广场 置顶区 WINDOWS核心编程 寻找一个vista之前系统阻止进程创建好的思路方法 ...
返回列表 发新帖
查看: 5879|回复: 5

寻找一个vista之前系统阻止进程创建好的思路方法

[复制链接]
284406022

2

主题

165

回帖

0

精华

金牌会员

积分
944
发表于 2016-6-22 23:13:45 | 显示全部楼层 |阅读模式
        管理教程里的创建进程回调PsSetCreateProcessNotifyRoutineEx是vista之后系统才有的函数,但是如果想在vista之前的系统阻止创建进程呢?
我所能想到:
1.PsSetCreateProcessNotifyRoutine进程回调,得到Pid->handle->关闭进程
2.hook NtCreateProcessEx 或 NtCreateUserProcess  ?

可能是我有点强迫症吧,想收集一个更好的办法,个人是不怎么喜欢ssdt-hook的,不到万不得已的情况才用hook,希望有好的方法共享下,由衷感谢~!
回复

举报

Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
发表于 2016-6-23 18:50:28 | 显示全部楼层
试试在LoadImageNotify里阻止PE镜像加载。
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

tangptr@126.com

78

主题

190

回帖

9

精华

贵宾会员

积分
15605
发表于 2016-6-23 20:03:28 | 显示全部楼层
我一直觉得Hook不麻烦,请叫我Hook小王子,嘿嘿。
驱动里反创建进程方法很多嘞。Hook什么函数都是可以的,比如PspCreateProcess,ObCreateObject,MmCreateSection。你甚至可以无聊到禁止读取文件。
回复

举报

284406022

2

主题

165

回帖

0

精华

金牌会员

积分
944
 楼主| 发表于 2016-6-23 21:10:56 | 显示全部楼层
tangptr@126.com 发表于 2016-6-23 20:03
我一直觉得Hook不麻烦,请叫我Hook小王子,嘿嘿。
驱动里反创建进程方法很多嘞。Hook什么函数都是可以的, ...

呵呵,hook小王子
回复

举报

284406022

2

主题

165

回帖

0

精华

金牌会员

积分
944
 楼主| 发表于 2016-6-23 21:11:48 | 显示全部楼层
tangptr@126.com 发表于 2016-6-23 20:03
我一直觉得Hook不麻烦,请叫我Hook小王子,嘿嘿。
驱动里反创建进程方法很多嘞。Hook什么函数都是可以的, ...

今天我在看雪看到了一篇hook  NtCreateSetion阻止进程创建的贴
回复

举报

284406022

2

主题

165

回帖

0

精华

金牌会员

积分
944
 楼主| 发表于 2016-6-23 21:19:28 | 显示全部楼层
Tesla.Angela 发表于 2016-6-23 18:50
试试在LoadImageNotify里阻止PE镜像加载。

这个方法倒没试过,明天试试看看哈
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

快速回复 返回顶部 返回列表