Windows 回调监控 <一>】的更多相关文章

Windows 回调监控 <二>

在之前的文章Windows 回调监控 <一> 总结了关于CreateProcessNotify,CreateProcessNotifyEx和LoadImageNotify一些用法,之后产生了一个思路,既然在进程创建的时候加载.exe文件会执行我们的回调函数,那么如果在我们回调函数之中对内存中的.exe文件的导入表增加一个项,这样进程会不会加载我们事先准备好的.dll文件,如果成功加载我们的dll话,就注入成功了. #pragma once #include <ntifs.h> #i…

Windows 回调监控 <一>

在x86的体系结构中,我们常用hook关键的系统调用来达到对系统的监控,但是对于x64的结构,因为有PatchGuard的存在,对于一些系统关键点进行hook是很不稳定的,在很大几率上会导致蓝屏的发生,而且在Vista之后的操作系统中,还提供了ObRegisterCallbacks()函数注册自定义的回调对特定的对象进行监控.本文就是对在ring0经常使用的几种回调进行一个小结. 进程创建回调 要监控系统进程的创建,我们可以hook NtCreateProcess或者是更为底层的PspCreat…

paip.windows io监控总结

paip.windows io监控总结 io的主要参数是个.disk queue length 作者Attilax  艾龙,  EMAIL:1466519819@qq.com 来源:attilax的专栏 地址:http://blog.csdn.net/attilax xp>控制面板>管理工具>性能>> 主要3个计数器  pages/sec avg.disk queue length % processor timer win7 的好像默认只有个cpu使用率.. io的要自己一…

C# Windows IPSEC监控(仅此一家,别无分店)

Windows IPSEC监控,使用C#编写,输出为一行字符串,可以按照既有IPSEC规则生成模板 using System; using System.Diagnostics; using System.IO; using System.Text; namespace WindowsIPSecMonitor { class WindowsIPSecMonitor { //*****颜色提示***** //红色警告 private static void RedError(string text…

windows 进程监控 Procmon.exe

windows 进程监控 Procmon.exe window下一个程序打开太慢,可以用此程序监控.在哪一步慢了,读取文件还是注册表. ProcessMonitor3.2 Process Monitor 官方Down https://technet.microsoft.com/en-us/sysinternals/bb896645 监视了进程,发现读取文件很慢,2分钟,删除文件竟然好了! 操作系统支持: Client: Windows Vista and higher. Server: Wind…

Windows性能计数器监控实践

Windows性能计数器(Performance Counter)是Windows提供的一种系统功能,它能实时采集.分析系统内的应用程序.服务.驱动程序等的性能数据,以此来分析系统的瓶颈.监控组件的表现,最终帮助用户对系统进行合理调优.市面上采集Windows性能计数器指标的产品参差不齐,尤其在处理某类应用程序有多个进程实例时,采集的数据更是差强人意.所幸微软为码农精心准备了获得性能计数器指标的接口,用于灵活获得相关性能计数器指标值,但进程级别Windows性能计数器指标的采集监控,并没有想象的…

python对 windows系统监控插件

在python编程的windows系统监控中,需要监控监控硬件信息需要两个模块:WMI 和 pypiwin32 .…

Win64 驱动内核编程-15.回调监控注册表

回调监控注册表 在 WIN32 平台上,监控注册表的手段通常是 SSDT HOOK.不过用 SSDT HOOK 的方式监控注册表实在是太麻烦了,要 HOOK 一大堆函数,还要处理一些 NT6 系统有而 NT5 系统没有的函数.下面我就来介绍一种完胜 SSDT HOOK 监控注册表的方法,效果跟 SSDT HOOK 一样好.这个方法就是使用微软推荐的注册表监控函数:CmRegisterCallbak.此函数其实在 XP 系统上就有了,不过那时功能不完善,只能简单的禁止或允许,无法获得完整的注册表修…

Win64 驱动内核编程-14.回调监控文件

回调监控文件 使用 ObRegisterCallbacks 实现保护进程,其实稍微 PATCH 下内核,这个函数还能实现文件操作监视.但可惜只能在 WIN7X64 上用.因为在 WIN7X64 上 PATCH 对象结构的成员(ObjectType->TypeInfo.SupportsObjectCallbacks)是合法的,在 WIN8X64 以及之后系统上会触发 PATCHGUARD.但是经过实际测试,我手里的Win7 64 是可以在不修改myobtype->TypeInfo.Support…

Win64 驱动内核编程-12.回调监控进线程创建和退出

回调监控进线程创建和退出 两个注册回调的函数:PsSetCreateProcessNotifyRoutine   进程回调PsSetCreateThreadNotifyRoutine    线程回调分别对应的回调函数类型: VOID MyCreateProcessNotify ( IN HANDLE ParentId, IN HANDLE ProcessId, IN BOOLEAN Create ) { if (Create) { DbgPrint("[monitor_create_proces…