My Process Monitor

Сейчас на форуме: tyns777, zds (+3 невидимых)

Посл.ответ	Сообщение
Saptm Ранг: 2.1 (гость) Активность: 0=0 Статус: Участник	Создано: 07 ноября 2009 01:24 · Личное сообщение · #1 Привет всем! Подскажите пожалуйста каким образом можно отследить в системе запуск процессов например: программа от Марка Русиновича Process Monitor отслеживает запуск новых процессов. Изучаю программирование драйверов и хочется создать мониторинг запускаемых процессов это мой первый вопрос Второй это как определить пид запускаемого процесса?

Coderess Ранг: 355.4 (мудрец), 55thx Активность: 0.32↘0 Статус: Uploader 5KRT	Создано: 07 ноября 2009 01:33 · Личное сообщение · #2 Используй в своем драйвере process notify-routines 1. PsSetCreateProcessNotify - msdn.microsoft.com/en-us/library/ms802952.aspx 2. PsSetLoadImageNotifyRoutine - msdn.microsoft.com/en-us/library/ms802949.aspx открывки кода из моего драйвера: Code: void CreateCloseProcessNotifyRoutine(IN HANDLE ParentId, IN HANDLE ProcessId, IN BOOLEAN Create) { if (Create) DbgPrint("Created Process Id, %d", ProcessId); else DbgPrint("Terminated Process Id, %d", ProcessId); } NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath) { NTSTATUS ntStatus = STATUS_SUCCESS; ntStatus = PsSetCreateProcessNotifyRoutine((PCREATE_PROCESS_NOTIFY_ROUTINE)Create CloseProcessNotifyRoutine , FALSE); if (!NT_SUCCESS(ntStatus)){ return ntStatus; } ... return ntStatus } VOID DriverUnload(IN PDRIVER_OBJECT DriverObject) { ntStatus = PsSetCreateProcessNotifyRoutine((PCREATE_PROCESS_NOTIFY_ROUTINE)Create CloseProcessNotifyRoutine, TRUE); ... } Исходный код монитора от Русиновича открыт, так что в бой! ----- Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes
Ratinsh Ранг: 191.8 (ветеран), 46thx Активность: 0.17↘0 Статус: Участник	Создано: 07 ноября 2009 06:11 · Личное сообщение · #3 Для интереса, наверно можно глянуть ExcpHook ver 0.0.5-rc2 gynvael.coldwind.pl?id=148 gynvael.coldwind.pl/download.php?f=ExcpHookMonitor_0.0.5-rc2.zip

Для печати