[c/win32][driver] détection de création ou de suppression de processus.

5/5 (3 avis)

Vue 8 565 fois - Téléchargée 1 055 fois

Description

Yop à tous,

Voici un petite driver qui permet la détection de la création ou de la suppression d'un processus, qu'il soit fenêtré ou non, système ,... Ce qui n'est pas possible avec un simple hook.

Mon driver montre donc comment créer la détection et aussi la communication entre une application en user et un driver en kernel mode via les event.

Ce driver fait partie d'un projet plus gros , donc j'ai fait un petit programme de test pour montrer le fonctionnement. Il regroupe toute les fonctions qu'il faut apart la destruction du service, mais bon , bon nombre de source sur cppfrance le montre.

Ha oui et aussi pour mon projet je n'avais besoin que de détecté la création, j'ai quand mm mis un else et un petit print pour montrer aussi la suppression.

Voila vos critiques constructive et commentaires constructifs sont les bien venus.

Source / Exemple :


/* Voir le zip. */

Conclusion :


Le bouton uninstalle de l'applic user ne fait que d'annuler la fonction callback et de déréférencer l'évènement. Elle ne désinstalle pas complètement le driver. Et les thread ne sont pas détruits. Comme je l'ai dit c'est un petit programme de test , donc pas super optimisé.

Testé sous XP,Vista & Seven

Codes Sources

A voir également

Ajouter un commentaire Commentaires
anonym001 Messages postés 1 Date d'inscription mardi 25 décembre 2012 Statut Membre Dernière intervention 26 décembre 2012
26 déc. 2012 à 11:04
Salut. J'ai scanné le fichier .zip avec Antivir et Virustotal. Les deux ont détecté un malware: TR/Crypt.XPACK.Gen
rastalalalolo Messages postés 17 Date d'inscription lundi 22 novembre 2004 Statut Membre Dernière intervention 15 janvier 2010
15 janv. 2010 à 20:02
merci!!!^^
lordflames Messages postés 2 Date d'inscription samedi 6 décembre 2003 Statut Membre Dernière intervention 21 octobre 2009
21 oct. 2009 à 15:16
Code propre et source bien utile, merci ! ^^

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes et codes sources.

Le fait d'être membre vous permet d'avoir des options supplémentaires.