偶写的Ring0监控程序PRMonitor源代码(ddk+sdk)

标题：偶写的Ring0监控程序PRMonitor源代码(ddk+sdk)
作者：xhackx
时间：2007-11-17 21:57
附件：PRMonitor.rar
链接：http://bbs.pediy.com/showthread.php?t=55092

【文章标题】: PRMonitor
【作者邮箱】: qqshow@live.com
【BLOG   】: http://hi.baidu.com/heartdbg
【下载地址】: 附件里下载
【测试平台】: xp sp2 其它平台没有测试
最近很多人对实时监控的程序感兴趣,我也把我的代码放出来...
通过ssdt hook实现对进程创建,注册表修改和内核模块加载的监控...
hook 了ZwCreateProcess      其实很多方法不用调用ZwCreateProcess而创建进程  更好的办法是再hook
NtCreateSection  我懒得改了具体参考codeproject上的文章Hooking the native API and controlling process creation on a system-wide basis
注册表监控就是hook了ZwSetValueKey 没什么说的
内核监控仅仅 hook了ZwLoadDriver 其它进入ring0的方法没有监控........
现在只能算是一个Demo

其实写这类的程序关键是封了进入ring0的方法  守住ring0这块高地其它的什么都不怕.......
sdk+ddk代码在附件中