NT 드라이버에서 프로세스 실행 차단 중

Question

프로세스 실행을 모니터링 할 수있는 Windows XP 용 드라이버를 개발했습니다.

콜백 함수는 표준 WDK API (PsSetCreateProcessNotifyRoutine)를 사용하여 알림을받습니다.

드라이버는 프로세스가 승인되어야하는지 여부를 결정합니다. 그렇지 않다면 실행을 막거나 죽여야합니다.

그런 식으로 실행을 차단하는 가장 깨끗한 방법은 무엇입니까? 나는 그것이 문서화되지 않았어도 상관 없지만 가능한 경우 후킹에 의지하지 않을 것입니다. 이 문서에 따라 확인

Answer 1

는 :

http://download.microsoft.com/download/4/4/b/44bb7147-f058-4002-9ab2-ed22870e3fe9/Kernal%20Data%20and%20Filtering%20Support%20for%20Windows%20Server%202008.doc

나는 IRP_MJ_ACQUIRE_FOR_SECTION_SYNCHRONIZATION을위한 미니 필터를 설치하고 PageProtection == PAGE_EXECUTE를 확인해야합니다.

Answer 2

PsSetCreateProcessNotifyRoutineEx (Vista +)를 사용하면 CreateInfo-> CreationStatus 멤버를 NTSTATUS 오류 코드로 변경하여 프로세스 생성 작업을 실패하게 할 수 있습니다.