最近想写一个监控进程的小软件,然后就迷茫了不知道要学些什么东西,,,,只知道是内核和sstd hook,请问哪位大神能详细的告诉我应该重点看内核里得什么,sstd hook里面的什么
sstd hook已经比较高深了
先从简单的比如键盘监视开始
基础的hook -》IAT API hook -》sstd hook
只是要监控进程创建的话,用SSDT HOOK NtSetInformationThread (ThreadInformationClass == 9)
如果想查询进程信息用NtQuerySystemInformation,或者PsGetCurrentProcess获取进程结构EPROCESS的指针,遍历进程链表进成。
Hook其他的函数还有很多,方法多了去了。