存档

文章标签 ‘EPROCESS’

ISCC2011内核关-打造你自己的进程监控程序

2011年6月9日 1 条评论

这是ISCC2011的内核关的第二题,内核关第一题就是用DebugView查看驱动文件中的输出信息,很简单,略过。本题是内核关第二题,要求使用Notify Routine来监控系统中进程的创建以及退出的信息。本题并不是很难,MSDN一下就知道怎么用了,我倒是觉得,通过EPROCESS结构体来获取进程的全路径需要好好思考一下,不过,Google上搜索一下,就明白了。
题目:监控Windows系统中进程的创建与结束,除了HOOK关键的系统函数之外,还可以设置Notify Routine,系统提供了这[......]

继续阅读