Driver kernel x64

Iniciado por lweb20, 21 Noviembre 2012, 02:29 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

lweb20

21 Noviembre 2012, 02:29 AM
Hola, aquí estaba retomando la programación de un driver que dejé a la mitad.

Resulta que como ya sabrán muchos no se puede hookear api's (por lo que he entendido en foros y por experiencia propia) en sistemas x64. Lo que quisiera es creo yo cambiar la dirección de memoria (perdonen si no es como digo, es lo que creo) donde está por ejemplo la API NtCreateProcess y así aceptar o denegar el acceso a algún proceso mientras se esté creando.

Bueno, lo que pido es que si alguien conoce, aunque sea cómo se llama, cómo se podría hacer lo que estaba mencionando. Pido aunque sea una idea. Gracias :)

x64core

#1
24 Noviembre 2012, 19:40 PM
EL kernel provee una funcion de devolucion para detectar si un proceso fue creado o eliminado:
PsSetCreateProcessNotifyRoutine

nada de hooks aparte que es inestable.
Imprimir
Ir Arriba Páginas1
Acciones del Usuario