在Minifilter中使用PsSetCreateProcessNotifyRoutine之后监控到的一些进程信息

一个进程总是被另一个进程创建的,追根求源,所有进程的“父”进程都是0进程


以双击桌面上的1.txt为例:

默认方式1.txt会被notepad.exe打开,在回调

VOID

(*PCREATE_PROCESS_NOTIFY_ROUTINE) (
    IN HANDLE  ParentId,
    IN HANDLE  ProcessId,
    IN BOOLEAN  Create
    );

中会监控到notepad.exe是被explore.exe创建的;

当关闭notepad时,如果hook了NtTerminateProcess会发现,notepad会先调用NtTerminateProcess,然后在上述回调中才会监控到notepad的退出

你可能感兴趣的:(在Minifilter中使用PsSetCreateProcessNotifyRoutine之后监控到的一些进程信息)