基于Ring0层的监控程序实现
写这类的程序关键是封了进入ring0的方法 守住ring0这块高地 其它的什么都不怕.......
通过ssdt hook实现 对进程创建,注册表修改和内核模块加载的监控...
创建进程:hook 了ZwCreateProcess 其实很多方法不用调用ZwCreateProcess而创建进程, 更好的办法是再hook NtCreateSection
具体参考codeproject上的文章Hooking the native API and controlling process creation on a system-wide basis
注册表监控就是hook了ZwSetValueKey 没什么说的
内核监控仅仅 hook了ZwLoadDriver 其它进入ring0的方法没有监控........
Hooking the native API and controlling process creation on a system-wide basis
通过ssdt hook实现 对进程创建,注册表修改和内核模块加载的监控...
创建进程:hook 了ZwCreateProcess 其实很多方法不用调用ZwCreateProcess而创建进程, 更好的办法是再hook NtCreateSection
具体参考codeproject上的文章Hooking the native API and controlling process creation on a system-wide basis
注册表监控就是hook了ZwSetValueKey 没什么说的
内核监控仅仅 hook了ZwLoadDriver 其它进入ring0的方法没有监控........
Hooking the native API and controlling process creation on a system-wide basis
