关于进程线程监视的事件设置问题

sevendog 2008-10-14 06:59:37
我写了个驱动来监视进程和线程的创建,可是运行大概20秒就蓝屏了

我觉得大概是在我设置事件的时候出了问题

但是不知道具体是哪里有问题,现在把代码贴出来
希望大家帮忙看看,先谢谢了//
////////////////////////////////////////////////////////
RtlInitUnicodeString(&uszProcessEventString, EVENT_NAME);
pDevExt->ProcessEvent = IoCreateNotificationEvent(&uszProcessEventString, &pDevExt->hProcessHandle);
// 设置它为非受信状态
KeClearEvent(pDevExt->ProcessEvent);
status = PsSetCreateProcessNotifyRoutine(ProcessCallback, FALSE);
if (!NT_SUCCESS( status ))
{
DbgPrint("PsSetCreateProcessNotifyRoutine()\n");
return status;
}
// 线程的设置
RtlInitUnicodeString(&uszThreadEventString, EVENT_NAMETEHERD);
pDevExt->TheradEvent = IoCreateNotificationEvent(&uszThreadEventString, &pDevExt->hThreadHandle);
// 设置它为非受信状态
KeClearEvent(pDevExt->TheradEvent);
status = PsSetCreateThreadNotifyRoutine(ThreadCallback);
if (!NT_SUCCESS( status ))
{

DbgPrint("PsSetCreateThreadNotifyRoutine()\n");
return status;
}
// 加载印象的设置
RtlInitUnicodeString(&uszImageEventString, EVENT_NAMEIMAGE);
pDevExt->ImageEvent = IoCreateNotificationEvent(&uszImageEventString, &pDevExt->hImageHandle);
// 设置它为非受信状态
KeClearEvent(pDevExt->ImageEvent);
status = PsSetLoadImageNotifyRoutine(ImageCallback);
if (!NT_SUCCESS( status ))
{
DbgPrint("PsSetLoadImageNotifyRoutine()\n");
return status;
}


return status;
////////////////////////////////////////////////////////////////////////////////
/////////////////////////////////////////////////////////////////////////////
//
VOID ProcessCallback(IN HANDLE hParentId, IN HANDLE hProcessId, IN BOOLEAN bCreate)
{
// 得到设备扩展结构的指针
PEPROCESS EProcess;
ULONG ulCurrentProcessId;
char * lpCurProc;
NTSTATUS status;
ANSI_STRING ansiStr ;
PDEVICE_EXTENSION pDevExt;
status = PsLookupProcessByProcessId( (ULONG)hProcessId, &EProcess);
pDevExt = (PDEVICE_EXTENSION)g_pDeviceObject->DeviceExtension;
if (!NT_SUCCESS( status ))
{
DbgPrint("PsLookupProcessByProcessId()\n");
return ;
}
if ( bCreate )
{
// lpCurProc = (LPTSTR)EProcess;
lpCurProc = (char *)((ULONG)EProcess + ProcessNameOffset);

pDevExt->hPParentId = hParentId;
pDevExt->hPProcessId = hProcessId;
pDevExt->bPCreate = bCreate;


RtlInitUnicodeString(&(pDevExt->strType),L"001");
RtlInitAnsiString(&ansiStr, lpCurProc) ;


RtlAnsiStringToUnicodeString(&pDevExt->strProcessname, &ansiStr, TRUE) ;

DbgPrint( "CREATE PROCESS = PROCESS NAME: %wZ , PROCESS PARENTID: %d, PROCESS ID: %d, PROCESS ADDRESS %x:\n",
&pDevExt->strProcessname,
hParentId,
hParentId,//PId,
EProcess );
}

else
{

//DbgPrint( "TERMINATED == PROCESS ID: %d\n", PId);
pDevExt->hPProcessId = hProcessId;
pDevExt->bPCreate = bCreate;

}
// 触发这个事件,以便任何正在监听的用户程序知道有事情发生了。
// 用户模式下的应用程序不能重置KM事件,所以我们要在这里触发它
KeSetEvent(pDevExt->ProcessEvent, 0, FALSE);
KeClearEvent(pDevExt->ProcessEvent);
}

VOID ThreadCallback (IN HANDLE PId, IN HANDLE TId, IN BOOLEAN bCreate)
{

// 得到设备扩展结构的指针
PEPROCESS EProcess;
ULONG ulCurrentProcessId;
char * lpCurProc;
NTSTATUS status;
ANSI_STRING ansiStr ;
PDEVICE_EXTENSION pDevExt = (PDEVICE_EXTENSION)g_pDeviceObject->DeviceExtension;
status = PsLookupProcessByProcessId( (ULONG)PId, &EProcess);
if (!NT_SUCCESS( status ))
{
DbgPrint("PsLookupProcessByProcessId()\n");
return ;
}
if ( bCreate )
{
// lpCurProc = (LPTSTR)EProcess;
lpCurProc = (char *)((ULONG)EProcess + ProcessNameOffset);

pDevExt->hPParentId = PId;
pDevExt->hPProcessId = TId;
pDevExt->bPCreate = bCreate;


RtlInitUnicodeString(&(pDevExt->strType),L"002");
RtlInitAnsiString(&ansiStr, lpCurProc) ;


RtlAnsiStringToUnicodeString(&pDevExt->strProcessname, &ansiStr, TRUE) ;
DbgPrint( "CREATE THREAD = PROCESS NAME: %s PROCESS ID: %d, THREAD ID: %d\n", lpCurProc, PId, TId );


}

else
{

//DbgPrint( "TERMINATED == PROCESS ID: %d\n", PId);
pDevExt->hPProcessId = TId;
pDevExt->bPCreate = bCreate;

}
// 触发这个事件,以便任何正在监听的用户程序知道有事情发生了。
// 用户模式下的应用程序不能重置KM事件,所以我们要在这里触发它
KeSetEvent(pDevExt->TheradEvent, 0, FALSE);
KeClearEvent(pDevExt->TheradEvent);

}
我不知道为什么,刚开始打印的正确的
可是过一下就蓝屏了,我刚开始学驱动
希望能给点建议
...全文
62 1 打赏 收藏 转发到动态 举报
写回复
用AI写文章
1 条回复
切换为时间正序
请发表友善的回复…
发表回复
cnzdgs 2008-10-14
  • 打赏
  • 举报
 回复
你挂上调试工具调试运行,出错时会停在出错的代码上。另外根据蓝屏显示的信息也可以找到出错的原因和相关地址。
Windows使用进程监视器查看进程读写的文件名
进程监视器(Process Monitor)是用于Windows的高级监视工具,用于显示实时文件系统、注册表和进程/线程活动。 进程监视器包括强大的监视和筛选功能,包括: 为操作输入和输出参数捕获的更多数据 使用非破坏性筛选器可以设置筛选器而不丢失数据 捕获每个操作的线程堆栈使得在许多情况下能够识别操作的根本原因 可靠捕获进程详细信息,包括映像路径、命令行、用户和会话 ID 任何事件属性的可配置和可移动列 可以为任何数据字段设置筛选器,包括未配置为列的字段 高级日志记录体系结构可扩展到数千万
4.2 Windows驱动开发:内核中进程线程与模块
内核进程线程和模块是操作系统内核中非常重要的概念。它们是操作系统的核心部分,用于管理系统资源和处理系统请求。在驱动安全开发中,理解内核进程线程和模块的概念对于编写安全的内核驱动程序至关重要。内核进程是在操作系统内核中运行的程序。每个进程都有一个唯一的进程标识符(PID),它用于在系统中唯一地标识该进程。在内核中,进程被表示为一个进程控制块(PCB),它包含有关进程的信息,如进程状态、优先级、内存使用情况等。
主动设置进程CPU绑定(CPU亲和性)解决QT多线程在Linux上只使用单核的问题
因此通过pthread_setaffinity_np在主线程设置亲和性(了解到子线程会继承的),但是不起效果,有继续翻博客,发现还有进程亲和性的设置函数,想着是不是设置线程不行,应该设置进程呢,于是用sched_setaffinity来设置(见本博客开头的插图中的代码)发现可以了。使用QT的多线程进行计算密集型任务,线程数不少于CPU的逻辑处理单元数,但是在Linux上查看系统监视器,总是只占用一个核(不超过100%),Window下是没有这个问题的。查看特定某个进程线程使用内存情况。
Windows进程监视器Process Monitor
Process Monitor是 Windows 的高级监视工具,是Filemon + Regmon的整合增强版本,实时显示文件系统,注册表,网络活动,进程线程活动,资料收集事件,并提供丰富的非破坏性筛选、全面的事件属性(如会话 ID 和用户名)、可靠的进程信息、具有每个操作的集成符号支持的全线程堆栈、同时记录到文件等等。
写给大忙人看的进程线程
我们平常说的进程线程更多的是基于编程语言的角度来说的,那么你真的了解什么是线程进程吗?那么我们就从操作系统的角度来了解一下什么是进程线程进程 操作系统中最核心的概念就是 进程进程是对正在运行中的程序的一个抽象。操作系统的其他所有内容都是围绕着进程展开的。进程是操作系统提供的最古老也是最重要的概念之一。即使可以使用的 CPU 只有一个,它们也支持(伪)并发操作。它们会将一个单独的 CPU...
驱动开发/核心开发

21,619

社区成员

21,709

社区内容

发帖
与我相关
我的任务
社区描述
硬件/嵌入开发 驱动开发/核心开发
社区管理员
  • 驱动开发/核心开发社区
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章