15,471
社区成员
发帖
与我相关
我的任务
分享那位高手会进程劫持啊?(vc编程)请不吝赐教
前不久接到一个关于建立可信任主机的任务,里面牵扯到进程的劫持,上网查了许多资料,仍然没有得到答案,不知道哪位高手不吝赐教,将vc编程对进程劫持的方法告诉在下,不胜感激。。不知道有没有微软未公开的函数可以实现这个功能。。。是不是可以通过钩子函数实现啊?俺找遍资料也不知如何截获进程启动的消息。。。现在俺具体说清楚些:譬如当你运行QQ的时候,编写的程序就可以将所运行的进程挂起,询问是否允许执行,如果允许则放行,不允许则杀死进程(跟瑞星的自动防护差不多)。。就这么个功能,曾经想过用500ms对进程进行一次遍历,但觉得有些离谱,有些病毒一旦运行就已经对系统或硬件进行了破坏,可信任主机也是空谈。。
...全文
请发表友善的回复…
发表回复
sunleiaini1314 2009-06-24
- 打赏
- 举报
多谢各位友友的支持,在13楼的提示下,我又查了下,在驱动中PsSetCreateProcessNotifyRoutine设置回调的确可以对进程进行监视,但是回调函数只提供了进程的ID,要想获取进程的进程名,我们要进一步通过进程ID来获取进程名。这需要用到一个未公开的函数 PsLookupProcessByProcessId()。详细信息见http://www.xfocus.net/articles/200303/495.html
sunleiaini1314 2009-06-24
- 打赏
- 举报
监视系统的所有进程,是得用全局钩子,但是怎样将启动进程的消息传递给回调函数啊,获取进程启动的信息,做出相应的判断?譬如,我启动一个QQ,怎样才能让回调函数获取是QQ启动的信息。。。
jingzhongrong 2009-06-15
- 打赏
- 举报
这个不是进程劫持吧。
你要监视进程启动可以hook CreateProcessW等函数。或者驱动中PsSetCreateProcessNotifyRoutine设置回调
你要监视进程启动可以hook CreateProcessW等函数。或者驱动中PsSetCreateProcessNotifyRoutine设置回调
luckyboy101 2009-06-14
- 打赏
- 举报
用hook
yyunffu 2009-06-14
- 打赏
- 举报
帮顶
feelang 2009-06-14
- 打赏
- 举报
帮顶,学习
jamseyang 2009-06-13
- 打赏
- 举报
帮你顶
一笑拔剑 2009-06-13
- 打赏
- 举报
全局hook createprocess
http://topic.csdn.net/u/20090612/16/00e5a42b-39f8-4f10-8a63-9ff252e8fccc.html
http://topic.csdn.net/u/20090612/16/00e5a42b-39f8-4f10-8a63-9ff252e8fccc.html
youzhipeng 2009-06-13
- 打赏
- 举报
Learning, UP
fanchangyong 2009-06-13
- 打赏
- 举报
360不就行了吗?
会思考的草 2009-06-13
- 打赏
- 举报
在创建进程的时候预先处理一下就可以了。
LiuYinChina 2009-06-13
- 打赏
- 举报
Detours钩住CreateProcess不知道是不是你想要的,
sunrl1985 2009-06-13
- 打赏
- 举报
关注中
litomboy 2009-06-12
- 打赏
- 举报
学习!
zoulie 2009-06-12
- 打赏
- 举报
inline hook, ssdt hook
