文件名称:监控准备运行的可执行文件
文件大小:16KB
文件格式:RAR
更新时间:2014-05-30 13:43:06
驱动
监控准备运行的可执行文件:修改(NtCreateSection)SSDT索引号,(索引号从用户程序中得到)HOOK NtCreateSection()这个函数,然后通过文件句柄获得文件名,判断它是不是可执行文件,检测其属性与判断用户是否允许它执行,如果允许就运行原来NtCreateSection这个函数,否则返回STATUS_ACCESS_DENIED。 如果我们截获一个NtCreateSection()的请求,该请求要求映射可执行文件作为SEC_IMAGE属性,通过结合页保护属性,我们能够知道进程将要执行了,因此我们在这个时候作出决定:是否让其执行。
【文件预览】:
protect
----protect.c(4KB)
----protector.sys(3KB)
----readme.txt(4KB)
----protector.exe(32KB)