PsSetCreateProcessNotifyRoutine妙用

最近要做一个进程监控的程序，功能很简单，就是创建和退出进程的时候，能触发我们的事件。

首先的第一想法，是Hook ZwCreateProcess，结果调试的时候发现，很多创建进程的动作，并没有通过这个API执行，所以自然就是没办法监控进程的创建，于是回到本质，从创建进程的动作过程来分析，创建新的进程，其大致要经历以下步骤：

（1）打开可执行文件，以FILE_EXECUTE权限打开；

（2）将可执行文件加载到内存空间；

（3）进程的活动结构将被创建，如（EPROCESS，KPROCESS和PEB结构）；

（4）为新创建的进程分配地址空间；

（5）为进程的主线程创建线程活动结构，如(ETHREAD,KTHREAD和TEB结构)；

（6）主线程的栈将会被分配；

（7）进程的主线程的上下文将被创建；

（8）通知windows子系统；

以上总结下来，无非有下面几种办法获取进程创建的消息：

（1）HOOK ZeCreateSection，创建虚拟内存块的时候，根据传入的文件句柄，获取句柄对应的文件名是否为exe可执行文件；

（2）Hook NtReadVirtualMemory，为新创建的进程分配地址空间等操作时，需要读取进程空间，这样捕获，就能够获取进程的创建动作；

（3）通过windows提供的回调函数，注册回调事件；

方法对比：

（1）该方法能够准确的获取进程创建的操作，但是由于此时进程并没有创建完毕，一些进程的基本结构还没有创建，所以进程ID等信息无法获取；

（2）该方法能够获取进程的创建操作，但不准确。因为除了进程的创建会调用此操作外，人为的一些操作，例如某外部应用程序想读取另一个进程的内存空间，也会调用这个函数，这时候也会有事件响应，因此结果不准确；

（3）第三种方法更直观和简单。因为采用的回调事件，并不直接HOOK API，因此更稳定。

重点分析第三种回调方法。

注册回调事件，是通过PsSetCreateProcessNotifyRoutine来实现的，其函数原型如下：

NTSTATUS PsSetCreateProcessNotifyRoutine(
IN PCREATE_PROCESS_NOTIFY_ROUTINE NotifyRoutine,
IN BOOLEAN Remove
);

NotifyRoutine就是注册的回调函数，当有进程创建的时候，就会调用这个NotifyRoutine对应的函数，其函数定义原型如下：

VOID (*PCREATE_PROCESS_NOTIFY_ROUTINE) (
IN HANDLE ParentId,
IN HANDLE ProcessId,
IN BOOLEAN Create
);
其中，ParentId是父进程ID，ProcessId为子进程ID，而Create表示是创建进程还是结束进程，其中True表示创建进程，False表示结束进程。

通过这个函数，我们就能够完成进程创建和退出的监控，首先调用PsSetCreateProcessNotifyRoutine注册进程监控回调函数，然后在回调函数里面，判断Create参数，分别处理进程创建和退出操作。

 

其它类似的函数还有PsSetLoadImageNotifyRoutine，PsSetCreateThreadNotifyRoutine等函数，通过函数名，能够比较清晰的明白函数的意义，在此就不细讲了。