作者:x-star
最近很多人对实时监控的程序感兴趣,而且zjjmj2002大侠也放了一个出来,我也把我的代码放出来...
通过ssdt hook实现 对进程创建,注册表修改和内核模块加载的监控...
hook 了ZwCreateProcess其实很多方法不用调用ZwCreateProcess而创建进程更好的办法是再hook
NtCreateSection我懒得改了 具体参考codeproject上的文章Hooking the native API and controlling process creation on a system-wide basis
注册表监控就是hook了ZwSetValueKey 没什么说的
内核监控仅仅 hook了ZwLoadDriver 其它进入ring0的方法没有监控........
现在只能算是一个Demo骗骗观众罢了
等有时间再完善
发表于 2008-9-30 12:31
发表于 2008-10-28 22:44
发表于 2009-2-19 22:34
