Выполнение процесса перехвата в драйвере NT

Question

Я разработал драйвер для Windows XP, который способен контролировать выполнение процессов.

Функция обратного вызова получает уведомления с использованием стандартного API WDK (PsSetCreateProcessNotifyRoutine).

Затем водитель решает, должен ли процесс быть разрешен или нет; если нет, он должен блокировать его выполнение/убить его.

Каков самый чистый способ перехватить выполнение таким образом? Я не возражаю, если это не задокументировано, но я бы предпочел не прибегать к подключению, если это возможно.

Answer 1

Хорошо, согласно этому документу:

http://download.microsoft.com/download/4/4/b/44bb7147-f058-4002-9ab2-ed22870e3fe9/Kernal%20Data%20and%20Filtering%20Support%20for%20Windows%20Server%202008.doc

Мне нужно установить минифильтр для IRP_MJ_ACQUIRE_FOR_SECTION_SYNCHRONIZATION и проверить PageProtection == PAGE_EXECUTE.

Answer 2

PsSetCreateProcessNotifyRoutineEx (Vista +) позволит вам привести к сбою операции создания процесса, изменив член CreateInfo-> CreationStatus на код ошибки NTSTATUS.