[求助][求助]应用层如何监视进程创建或退出，附上东西，高手看下是如何实现的？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
chengxjj 雪币： 256 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 147 粉丝 0 关注私信	chengxjj 2 楼顶上去,直到问题解决为止！ 2010-1-15 14:02 0
blueapplez 雪币： 458 活跃值： (426) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1047 粉丝 7 关注私信	blueapplez 14 3 楼 hook CreateProcess API 2010-1-15 14:07 0
chengxjj 雪币： 256 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 147 粉丝 0 关注私信	chengxjj 4 楼谢谢楼上的回贴，但，hook CreateProcess只能监视进程的创建，不能监视进程的退出啊！ 2010-1-16 01:18 0
vfer 雪币： 45 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 84 粉丝 0 关注私信	vfer 5 楼你能肯定他不是用驱动？ 2010-1-16 04:36 0
fhurricane 雪币： 492 活跃值： (53) 能力值： ( LV6，RANK：80 ) 在线值：发帖 36 回帖 270 粉丝 2 关注私信	fhurricane 1 6 楼可能使用了 PsSetCreateProcessNotifyRoutine 这个可以监视退出的 2010-1-16 08:28 0
Nameless 雪币： 217 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 1 关注私信	Nameless 7 楼我说错了，我反省，呵呵。 2010-1-16 11:20 0
fbbttfbb 雪币： 336 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	fbbttfbb 8 楼是用WMI来监控进程的创建和退出 Ultra String Reference Plugin, 条目 17 Address=0040786A Disassembly=push Process_.004030C0 Text String=Select * FROM __InstanceDeletionEvent WITHIN 1 Where TargetInstance ISA 'Win32_Process' 然后根据Text String在google搜索下,也有个VBS监控进程创建和删除的例子,如下 VBS-监视进程 VBS, 进程 1.监视进程的创建 strComputer = "." Set objWMIService = GetObject("winmgmts:" _ "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2") Set colMonitoredProcesses = objWMIService. _ ExecNotificationQuery("select * from __instancecreationevent " _ " within 1 where TargetInstance isa 'Win32_Process'") i = 0 Do While i = 0 Set objLatestProcess = colMonitoredProcesses.NextEvent Wscript.Echo objLatestProcess.TargetInstance.Name Loop 2.监视进程的删除 strComputer = "." Set objWMIService = GetObject("winmgmts:" _ "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2") Set colMonitoredProcesses = objWMIService. _ ExecNotificationQuery("select * from __instancedeletionevent " _ "within 1 where TargetInstance isa 'Win32_Process'") i = 0 Do While i = 0 Set objLatestProcess = colMonitoredProcesses.NextEvent Wscript.Echo objLatestProcess.TargetInstance.Name Loop 3.监视进程使用处理器的情况 strComputer = "." Set objWMIService = GetObject("winmgmts:" _ "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2") Set colProcesses = objWMIService.ExecQuery _ ("Select * from Win32_process") For Each objProcess in colProcesses sngProcessTime = ( CSng(objProcess.KernelModeTime) + _ CSng(objProcess.UserModeTime)) / 10000000 Wscript 2010-1-16 12:42 0
chengxjj 雪币： 256 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 147 粉丝 0 关注私信	chengxjj 9 楼谢谢楼上的，我就觉得奇怪，原来是用ＷＭＩ！ 2010-1-16 16:48 0
evilcode 雪币： 254 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 398 粉丝 0 关注私信	evilcode 10 楼没用，没效果！我用精简的XP，可能是没这SDK。 2010-1-18 13:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
chengxjj 雪币： 256 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 147 粉丝 0 关注私信	chengxjj 2 楼顶上去,直到问题解决为止！ 2010-1-15 14:02 0
blueapplez 雪币： 458 活跃值： (426) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1047 粉丝 7 关注私信	blueapplez 14 3 楼 hook CreateProcess API 2010-1-15 14:07 0
chengxjj 雪币： 256 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 147 粉丝 0 关注私信	chengxjj 4 楼谢谢楼上的回贴，但，hook CreateProcess只能监视进程的创建，不能监视进程的退出啊！ 2010-1-16 01:18 0
vfer 雪币： 45 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 84 粉丝 0 关注私信	vfer 5 楼你能肯定他不是用驱动？ 2010-1-16 04:36 0
fhurricane 雪币： 492 活跃值： (53) 能力值： ( LV6，RANK：80 ) 在线值：发帖 36 回帖 270 粉丝 2 关注私信	fhurricane 1 6 楼可能使用了 PsSetCreateProcessNotifyRoutine 这个可以监视退出的 2010-1-16 08:28 0
Nameless 雪币： 217 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 1 关注私信	Nameless 7 楼我说错了，我反省，呵呵。 2010-1-16 11:20 0
fbbttfbb 雪币： 336 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	fbbttfbb 8 楼是用WMI来监控进程的创建和退出 Ultra String Reference Plugin, 条目 17 Address=0040786A Disassembly=push Process_.004030C0 Text String=Select * FROM __InstanceDeletionEvent WITHIN 1 Where TargetInstance ISA 'Win32_Process' 然后根据Text String在google搜索下,也有个VBS监控进程创建和删除的例子,如下 VBS-监视进程 VBS, 进程 1.监视进程的创建 strComputer = "." Set objWMIService = GetObject("winmgmts:" _ "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2") Set colMonitoredProcesses = objWMIService. _ ExecNotificationQuery("select * from __instancecreationevent " _ " within 1 where TargetInstance isa 'Win32_Process'") i = 0 Do While i = 0 Set objLatestProcess = colMonitoredProcesses.NextEvent Wscript.Echo objLatestProcess.TargetInstance.Name Loop 2.监视进程的删除 strComputer = "." Set objWMIService = GetObject("winmgmts:" _ "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2") Set colMonitoredProcesses = objWMIService. _ ExecNotificationQuery("select * from __instancedeletionevent " _ "within 1 where TargetInstance isa 'Win32_Process'") i = 0 Do While i = 0 Set objLatestProcess = colMonitoredProcesses.NextEvent Wscript.Echo objLatestProcess.TargetInstance.Name Loop 3.监视进程使用处理器的情况 strComputer = "." Set objWMIService = GetObject("winmgmts:" _ "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2") Set colProcesses = objWMIService.ExecQuery _ ("Select * from Win32_process") For Each objProcess in colProcesses sngProcessTime = ( CSng(objProcess.KernelModeTime) + _ CSng(objProcess.UserModeTime)) / 10000000 Wscript 2010-1-16 12:42 0
chengxjj 雪币： 256 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 147 粉丝 0 关注私信	chengxjj 9 楼谢谢楼上的，我就觉得奇怪，原来是用ＷＭＩ！ 2010-1-16 16:48 0
evilcode 雪币： 254 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 398 粉丝 0 关注私信	evilcode 10 楼没用，没效果！我用精简的XP，可能是没这SDK。 2010-1-18 13:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复