[c/win32][driver] détection de création ou de suppression de processus.

Soyez le premier à donner votre avis sur cette source.

Vue 8 373 fois - Téléchargée 1 023 fois

Description

Yop à tous,

Voici un petite driver qui permet la détection de la création ou de la suppression d'un processus, qu'il soit fenêtré ou non, système ,... Ce qui n'est pas possible avec un simple hook.

Mon driver montre donc comment créer la détection et aussi la communication entre une application en user et un driver en kernel mode via les event.

Ce driver fait partie d'un projet plus gros , donc j'ai fait un petit programme de test pour montrer le fonctionnement. Il regroupe toute les fonctions qu'il faut apart la destruction du service, mais bon , bon nombre de source sur cppfrance le montre.

Ha oui et aussi pour mon projet je n'avais besoin que de détecté la création, j'ai quand mm mis un else et un petit print pour montrer aussi la suppression.

Voila vos critiques constructive et commentaires constructifs sont les bien venus.

Source / Exemple :


/* Voir le zip. */

Conclusion :


Le bouton uninstalle de l'applic user ne fait que d'annuler la fonction callback et de déréférencer l'évènement. Elle ne désinstalle pas complètement le driver. Et les thread ne sont pas détruits. Comme je l'ai dit c'est un petit programme de test , donc pas super optimisé.

Testé sous XP,Vista & Seven

Codes Sources

A voir également

Ajouter un commentaire Commentaires
Messages postés
1
Date d'inscription
mardi 25 décembre 2012
Statut
Membre
Dernière intervention
26 décembre 2012

Salut. J'ai scanné le fichier .zip avec Antivir et Virustotal. Les deux ont détecté un malware: TR/Crypt.XPACK.Gen
Messages postés
17
Date d'inscription
lundi 22 novembre 2004
Statut
Membre
Dernière intervention
15 janvier 2010

merci!!!^^
Messages postés
2
Date d'inscription
samedi 6 décembre 2003
Statut
Membre
Dernière intervention
21 octobre 2009

Code propre et source bien utile, merci ! ^^

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes et codes sources.

Le fait d'être membre vous permet d'avoir des options supplémentaires.