3

プロセスの実行を監視できる Windows XP 用のドライバーを開発しました。

コールバック関数は、標準の WDK API (PsSetCreateProcessNotifyRoutine) を使用して通知を受け取ります。

次に、ドライバーは、プロセスを許可するかどうかを決定します。そうでない場合は、実行をブロックするか、強制終了する必要があります。

そのように実行を傍受する最もクリーンな方法は何ですか? 文書化されていなくてもかまいませんが、可能であればフックに頼りたくありません。

4

2 に答える 2

1

PsSetCreateProcessNotifyRoutineEx (Vista+) では、CreateInfo->CreationStatus メンバーを NTSTATUS エラー コードに変更することで、プロセス作成操作を失敗させることができます。

于 2010-07-23T06:14:43.533 に答える
1

わかりました、このドキュメントによると:

http://download.microsoft.com/download/4/4/b/44bb7147-f058-4002-9ab2-ed22870e3fe9/Kernal%20Data%20and%20Filtering%20Support%20for%20Windows%20Server%202008.doc

IRP_MJ_ACQUIRE_FOR_SECTION_SYNCHRONIZATION のミニフィルターをインストールし、PageProtection == PAGE_EXECUTE を確認する必要があります。

于 2010-06-21T16:23:58.110 に答える