小弟我想做一个驻留程序,能感知到其它进程的启动/关闭。不知道如何实现
我想做一个驻留程序,能感知到其它进程的启动/关闭。不知道怎么实现
系统有没有提供一个API函数、或COM接口之类的。
------解决方案--------------------
你要HOOK CreateProcess() 系统的API
------解决方案--------------------
最完美的方法是使用驱动修改SSDT,HOOK NtCreateProcess(2K)/NtCreateProcessEx(XP),反病毒软件就是这种方案,而且驱动的话,进程空间里面不是那么容易看到的.当然方法就麻烦了.
普通的直接在R3层用修改引入表的方法HOOK上面那两个函数也可以,至于使用周期遍历的方法,个人并不推荐,效率和准确度都不行.
------解决方案--------------------
最完美的方法是使用驱动修改SSDT
CCMS 能不能告诉哪里有这样的资料??
------解决方案--------------------
Under driver mode, you can receive a notification when a process is being created.
Details search in codeproject.com that it seems to call hooksys.
系统有没有提供一个API函数、或COM接口之类的。
------解决方案--------------------
你要HOOK CreateProcess() 系统的API
------解决方案--------------------
最完美的方法是使用驱动修改SSDT,HOOK NtCreateProcess(2K)/NtCreateProcessEx(XP),反病毒软件就是这种方案,而且驱动的话,进程空间里面不是那么容易看到的.当然方法就麻烦了.
普通的直接在R3层用修改引入表的方法HOOK上面那两个函数也可以,至于使用周期遍历的方法,个人并不推荐,效率和准确度都不行.
------解决方案--------------------
最完美的方法是使用驱动修改SSDT
CCMS 能不能告诉哪里有这样的资料??
------解决方案--------------------
Under driver mode, you can receive a notification when a process is being created.
Details search in codeproject.com that it seems to call hooksys.