[c/win32][driver] détection de création ou de suppression de processus.
Description
Yop à tous,
Voici un petite driver qui permet la détection de la création ou de la suppression d'un processus, qu'il soit fenêtré ou non, système ,... Ce qui n'est pas possible avec un simple hook.
Mon driver montre donc comment créer la détection et aussi la communication entre une application en user et un driver en kernel mode via les event.
Ce driver fait partie d'un projet plus gros , donc j'ai fait un petit programme de test pour montrer le fonctionnement. Il regroupe toute les fonctions qu'il faut apart la destruction du service, mais bon , bon nombre de source sur cppfrance le montre.
Ha oui et aussi pour mon projet je n'avais besoin que de détecté la création, j'ai quand mm mis un else et un petit print pour montrer aussi la suppression.
Voila vos critiques constructive et commentaires constructifs sont les bien venus.
Le bouton uninstalle de l'applic user ne fait que d'annuler la fonction callback et de déréférencer l'évènement. Elle ne désinstalle pas complètement le driver. Et les thread ne sont pas détruits. Comme je l'ai dit c'est un petit programme de test , donc pas super optimisé.
Testé sous XP,Vista & Seven
Voici un petite driver qui permet la détection de la création ou de la suppression d'un processus, qu'il soit fenêtré ou non, système ,... Ce qui n'est pas possible avec un simple hook.
Mon driver montre donc comment créer la détection et aussi la communication entre une application en user et un driver en kernel mode via les event.
Ce driver fait partie d'un projet plus gros , donc j'ai fait un petit programme de test pour montrer le fonctionnement. Il regroupe toute les fonctions qu'il faut apart la destruction du service, mais bon , bon nombre de source sur cppfrance le montre.
Ha oui et aussi pour mon projet je n'avais besoin que de détecté la création, j'ai quand mm mis un else et un petit print pour montrer aussi la suppression.
Voila vos critiques constructive et commentaires constructifs sont les bien venus.
Source / Exemple :
/* Voir le zip. */
Conclusion :
Le bouton uninstalle de l'applic user ne fait que d'annuler la fonction callback et de déréférencer l'évènement. Elle ne désinstalle pas complètement le driver. Et les thread ne sont pas détruits. Comme je l'ai dit c'est un petit programme de test , donc pas super optimisé.
Testé sous XP,Vista & Seven
Codes Sources
A voir également
- [c/win32][driver] détection de création ou de suppression de processus.
- Processus tableur ✓ - Forum C# / .NET
- Interpréteur de commandes et console win32 ✓ - Forum C++ & C++ .NET
- Creation gencod - Forum Visual Basic 6
- Python date de creation ✓ - Forum Python
- Thread dans une aplication console win32 - Forum C++ & C++ .NET
Vous n'êtes pas encore membre ?
inscrivez-vous, c'est gratuit et ça prend moins d'une minute !
Les membres obtiennent plus de réponses que les utilisateurs anonymes.
Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes et codes sources.
Le fait d'être membre vous permet d'avoir des options supplémentaires.