在Minifilter中使用PsSetCreateProcessNotifyRoutine之后监控到的一些进程信息
2014-12-30 13:29
525 查看
一个进程总是被另一个进程创建的,追根求源,所有进程的“父”进程都是0进程
以双击桌面上的1.txt为例:
默认方式1.txt会被notepad.exe打开,在回调
VOID
(*PCREATE_PROCESS_NOTIFY_ROUTINE) (
IN HANDLE ParentId,
IN HANDLE ProcessId,
IN BOOLEAN Create
);
中会监控到notepad.exe是被explore.exe创建的;
当关闭notepad时,如果hook了NtTerminateProcess会发现,notepad会先调用NtTerminateProcess,然后在上述回调中才会监控到notepad的退出
以双击桌面上的1.txt为例:
默认方式1.txt会被notepad.exe打开,在回调
VOID
(*PCREATE_PROCESS_NOTIFY_ROUTINE) (
IN HANDLE ParentId,
IN HANDLE ProcessId,
IN BOOLEAN Create
);
中会监控到notepad.exe是被explore.exe创建的;
当关闭notepad时,如果hook了NtTerminateProcess会发现,notepad会先调用NtTerminateProcess,然后在上述回调中才会监控到notepad的退出
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 进程监控驱动 PsSetCreateProcessNotifyRoutine
- 驱动开发之二:ntddk.h文件中函数的使用 如:PsSetCreateProcessNotifyRoutine
- PsSetCreateProcessNotifyRoutine进程黑名单
- 进程监视函数PsSetCreateProcessNotifyRoutine
- PsSetCreateProcessNotifyRoutine妙用
- 枚举移除PsSetCreateProcessNotifyRoutine
- PsSetCreateProcessNotifyRoutine妙用
- PsSetCreateProcessNotifyRoutineEx 创建回调函数
- 解决 PsSetCreateProcessNotifyRoutineEx 调用失败的方法
- PsSetCreateProcessNotifyRoutine妙用
- PsSetCreateProcessNotifyRoutine妙用
- PsSetCreateProcessNotifyRoutine妙用
- PsSetCreateProcessNotifyRoutine妙用
- PsSetCreateProcessNotifyRoutine 中文翻译
- PsSetCreateProcessNotifyRoutine
- PsSetCreateProcessNotifyRoutine函数和源码分析
- 一个PsSetLoadImageNotifyRoutine回调内核注入DLL,支持xp ~ win7源码
- 使用process_monitor.sh监控hadoop进程的crontab配置
- 监控系统所有进程的创建和销毁 (PsSetCreateProcessNotifyRoutine)
- 使用ps命令获取Linux环境下全部RAC集群进程信息