 |
eXeL@B —› Программирование —› Блокирование запуска процессов в драйвере |
| Посл.ответ | Сообщение |
|
|
Создано: 26 декабря 2009 22:16 · Личное сообщение · #1 Юзаю документированый способ: PsSetCreateProcessNotifyRoutine(). В колбеке по PID открываю процесс через ZwOpenProcess, потом убиваю его через ZwTerminateProcess, хэндл на процесс закрываю. Процессы вроде как убиваются, но если глянуть на список процессов через: !process 0 0 То убитые процессы видны, как будто EPROCESS не удалился. Получается эдакий object leak. Почему они там висят, и как правильно блокировать запуск, чтобы процессы убивались нормально? ----- Реверсивная инженерия - написание кода идентичного натуральному  |
|
|
Создано: 26 декабря 2009 23:24 · Поправил: Vol4ok · Личное сообщение · #2 Hexxx пишет: Почему они там вися Дело в том что калбэки вызываются гдето в середине PspCreateThread, поэтому вполне логично, что процесс может быть до конца не инициализирован Скорее всего тут без хуков ядерных фукнций не обойтись... |
|
|
Создано: 26 декабря 2009 23:48 · Личное сообщение · #3 Задать собственный обраотчик ProcessObjectType.OpenProcedure(). Почти легальное решение  Стек вызова NtCreateProcess->NtCreateProcessEx->PspCreateProcess->ObInsertObject->ObpCreateHandle->ObpIncrementHandleCount->OpenProcedure() |
|
|
Создано: 27 декабря 2009 00:46 · Личное сообщение · #4 Это были глюки, вопрос отменяется. Щас уже все ок. Драйвер был не причем. ----- Реверсивная инженерия - написание кода идентичного натуральному |
|
|
Создано: 27 декабря 2009 09:41 · Личное сообщение · #5 Видимо, тогда можно закрыть. |
|
eXeL@B —› Программирование —› Блокирование запуска процессов в драйвере |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати