|
Título: Driver kernel x64 Publicado por: lweb20 en 21 Noviembre 2012, 02:29 am Hola, aquí estaba retomando la programación de un driver que dejé a la mitad.
Resulta que como ya sabrán muchos no se puede hookear api's (por lo que he entendido en foros y por experiencia propia) en sistemas x64. Lo que quisiera es creo yo cambiar la dirección de memoria (perdonen si no es como digo, es lo que creo) donde está por ejemplo la API NtCreateProcess y así aceptar o denegar el acceso a algún proceso mientras se esté creando. Bueno, lo que pido es que si alguien conoce, aunque sea cómo se llama, cómo se podría hacer lo que estaba mencionando. Pido aunque sea una idea. Gracias :) Título: Re: Driver kernel x64 Publicado por: x64core en 24 Noviembre 2012, 19:40 pm EL kernel provee una funcion de devolucion para detectar si un proceso fue creado o eliminado:
PsSetCreateProcessNotifyRoutine (http://msdn.microsoft.com/en-us/library/windows/hardware/ff559951(v=vs.85).aspx) nada de hooks aparte que es inestable. |