监控程序PRMonitor 源代码(ddk+sdk)
作者:x-star最近很多人对实时监控的程序感兴趣,而且zjjmj2002大侠也放了一个出来,我也把我的代码放出来...
通过ssdt hook实现 对进程创建,注册表修改和内核模块加载的监控...
hook 了ZwCreateProcess其实很多方法不用调用ZwCreateProcess而创建进程更好的办法是再hook
NtCreateSection我懒得改了 具体参考codeproject上的文章Hooking the native API and controlling process creation on a system-wide basis
注册表监控就是hook了ZwSetValueKey 没什么说的
内核监控仅仅 hook了ZwLoadDriver 其它进入ring0的方法没有监控........
现在只能算是一个Demo骗骗观众罢了
等有时间再完善
其实 写这类的程序关键是封了进入ring0的方法守住ring0这块高地 其它的什么都不怕....... 下载参考一下
学习学习~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 我喊·························· 好东西搞下来参考下
页:
[1]