开通博客赚积分
发布资源赚积分
分类

源码开发语言/平台
当前位置:首页 > 源码/资料 > Windows编程 > 系统编程 > 查看源码
BehaviorMonView.cpp
资源名称:BehaviorProMon.rar [点击查看]
上传用户:xuemeng126
上传日期:2022-07-05
资源大小:454k
文件大小:23k
源码类别:

系统编程

开发平台:

Visual C++

BehaviorMonView.cpp:源码内容
  1. // BehaviorMonView.cpp : implementation of the CBehaviorMonView class
  2. //
  4. #include "stdafx.h"
  5. #include "BehaviorMon.h"
  7. #include "BehaviorMonDoc.h"
  8. #include "BehaviorMonView.h"
  9. #include "IoctlCmd.h" 
  10. #include <tchar.h>
  11. #include <commctrl.h>  
  12. #include <stdio.h>
  13. #include <string.h>
  14. #include <winioctl.h>
  16. #ifdef _DEBUG
  17. #define new DEBUG_NEW
  18. #undef THIS_FILE
  19. static char THIS_FILE[] = __FILE__;
  20. #endif
  22. //宏定义 
  23. // Number of columns in the listview
  24. #define NUMCOLUMNS 7
  25. // maximum length of an entier listview line
  26. #define MAXITEMLENGTH 0x1000
  27. //静态变量,可以在线程中使用
  28. static CSortListCtrl m_list_behavior;
  29. static CImageList images;
  30. static CString m_row_num;
  32. static HICON hIcon;
  33. static long num=0;
  34. static char num_s[32];
  35. static SYSTEMTIME local_time;
  36. static char processname[16];
  37. static char processfullname[512];
  38. static char nativeAPIname[64];
  39. static char behavior[1024];
  40. static char result[64];
  41. static DWORD b=0;
  42. //保存被hook的nativeAPI函数信息
  43. typedef struct {
  44. const char * nativeAPIname;//函数名称
  45. //ULONG Index;//在描述符表中的代号
  46. //ULONG RealCallee;//真正的地址
  47. //ULONG proxyfunadd;//代理函数地址
  48. //BOOL  hooked;
  49. }HOOKED_API_INFO;
  50. static HOOKED_API_INFO hook_API_info[100];
  51. static int hook_num=0;
  52. //交互缓冲区,驱动往里写,前台往出读,做显示
  53. typedef struct{
  54. char IsRead;
  55. char ProcessName[32];
  56. char NativeAPIName[32];
  57. char ProcessFullName[512];
  58. char Behavior[1024];
  59. char Result[64];
  60. char Time[16];
  61. }LOG_BEHAVIOR;
  62. static LOG_BEHAVIOR log_behavior[10];
  63. static int curr_read_pointer=0;
  64. static int LOG_BEHAVIOR_NUM=10;
  65. /////////////////////////////////////////////////////////////////////////////
  66. static HINSTANCE hInst; // current instance 当前实例
  67. static HANDLE device;
  68. static char outputbuff[2048]; 
  70. static char processnamebuff[2048];
  71. static char * strings[256]; 
  72. static DWORD stringcount; 
  74. static HANDLE hThread;
  75. static BOOL IsSetup;
  76. static BOOLEAN Capture = FALSE;
  77. static DWORD startTime;
  78. // Buffer into which driver can copy statistics
  79. char Stats[ LOGBUFSIZE ];
  80. // Current fraction of buffer filled
  81. DWORD StatsLen;
  82. static BOOLEAN ClockTime = TRUE;
  83. static BOOLEAN IsNT= TRUE;
  84. // General buffer for storing temporary strings
  85. static TCHAR msgbuf[ MAXITEMLENGTH ];
  86. // performance counter frequency
  87. LARGE_INTEGER PerfFrequency;
  89. // CBehaviorMonView
  90. IMPLEMENT_DYNCREATE(CBehaviorMonView, CFormView)
  92. BEGIN_MESSAGE_MAP(CBehaviorMonView, CFormView)
  93. //{{AFX_MSG_MAP(CBehaviorMonView)
  94. ON_WM_CLOSE()
  95. ON_WM_SIZE()
  96. ON_NOTIFY(NM_CLICK, IDC_LIST_BEHAVIOR, OnClickListBehavior)
  97. ON_WM_TIMER()
  98. ON_BN_CLICKED(IDC_BUTTON_HOOK, OnButtonHook)
  99. ON_BN_CLICKED(IDC_BUTTON_UNHOOK, OnButtonUnhook)
  100. ON_WM_CREATE()
  101. //}}AFX_MSG_MAP
  102. // Standard printing commands
  103. ON_COMMAND(ID_FILE_PRINT, CFormView::OnFilePrint)
  104. ON_COMMAND(ID_FILE_PRINT_DIRECT, CFormView::OnFilePrint)
  105. ON_COMMAND(ID_FILE_PRINT_PREVIEW, CFormView::OnFilePrintPreview)
  106. END_MESSAGE_MAP()
  108. /////////////////////////////////////////////////////////////////////////////
  109. // CBehaviorMonView construction/destruction
  111. CBehaviorMonView::CBehaviorMonView()
  112. : CFormView(CBehaviorMonView::IDD)
  113. {
  114. //{{AFX_DATA_INIT(CBehaviorMonView)
  115. m_row_num = _T("");
  116. //}}AFX_DATA_INIT
  117. // TODO: add construction code here
  118. setup(); 
  119. IsSetup=TRUE;
  120. }
  122. CBehaviorMonView::~CBehaviorMonView()
  123. {
  124. cleanup();
  125. }
  127. void CBehaviorMonView::DoDataExchange(CDataExchange* pDX)
  128. {
  129. CFormView::DoDataExchange(pDX);
  130. //{{AFX_DATA_MAP(CBehaviorMonView)
  131. DDX_Control(pDX, IDC_LIST_BEHAVIOR, m_list_behavior);
  132. DDX_Text(pDX, IDC_STATIC_ROW, m_row_num);
  133. //}}AFX_DATA_MAP
  134. }
  136. BOOL CBehaviorMonView::PreCreateWindow(CREATESTRUCT& cs)
  137. {
  138. // TODO: Modify the Window class or styles here by modifying
  139. //  the CREATESTRUCT cs
  141. return CFormView::PreCreateWindow(cs);
  142. }
  144. void CBehaviorMonView::OnInitialUpdate()
  145. {
  146. CFormView::OnInitialUpdate();
  147. GetParentFrame()->RecalcLayout();
  148. ResizeParentToFit();
  149. m_list_behavior.SetHeadings( _T("#,40;Time,90;Process Name,200;Native API,100;Behavior,500;Result,60") ); ///设置列头信息
  150. m_list_behavior.LoadColumnInfo();                              ///加载列信息
  151. //CListCtrl扩展样式改变
  152. DWORD dwStyle;
  153. dwStyle = m_list_behavior.GetStyle();  //取得样式
  154. dwStyle |=  LVS_EX_GRIDLINES | LVS_EX_FULLROWSELECT | LVS_EX_HEADERDRAGDROP ;   //添加样式
  155. m_list_behavior.SetExtendedStyle(dwStyle);     //重新设置
  156. /*
  157. m_list_behavior.SetExtendedStyle( 
  158. //LVS_EX_ONECLICKACTIVATE //单击选中项 
  159. | LVS_EX_FULLROWSELECT // 答应整行选中 
  160. | LVS_EX_HEADERDRAGDROP // 答应标题拖拽 
  161. | LVS_SHOWSELALWAYS //高亮度显示被选中项 
  162. | LVS_EX_GRIDLINES //网格线 
  163. | LVS_EX_FLATSB // 扁平风格滚动 
  164. );  */  
  166. images.Create(16,16,ILC_COLOR32 ,10,10);
  167. m_list_behavior.SetImageList(&images,LVSIL_SMALL);
  168. //for test
  169. /*
  170. hIcon=AfxGetApp()->LoadIcon(IDI_ICON_DEFAULT);
  171. int j=images.Add(hIcon);
  172. GetLocalTime(&local_time);
  173. ltoa(num,num_s,10);
  174. CString strTime;   
  175. strTime.Format(_T("%.2d:%.2d:%.2d.%.3d"),local_time.wHour,local_time.wMinute,local_time.wSecond,local_time.wMilliseconds);  
  176. m_list_behavior.AddItem(j,num_s,strTime, _T("是"),_T("是"),_T("是"),_T("是"));///添加表项
  177. num++;
  178. */
  179. CWnd   *pButton_Unhook   =   this->GetDlgItem(IDC_BUTTON_UNHOOK); 
  180. pButton_Unhook->EnableWindow(FALSE);
  181. }
  183. /////////////////////////////////////////////////////////////////////////////
  184. // CBehaviorMonView printing
  186. BOOL CBehaviorMonView::OnPreparePrinting(CPrintInfo* pInfo)
  187. {
  188. // default preparation
  189. return DoPreparePrinting(pInfo);
  190. }
  192. void CBehaviorMonView::OnBeginPrinting(CDC* /*pDC*/, CPrintInfo* /*pInfo*/)
  193. {
  194. // TODO: add extra initialization before printing
  195. }
  197. void CBehaviorMonView::OnEndPrinting(CDC* /*pDC*/, CPrintInfo* /*pInfo*/)
  198. {
  199. // TODO: add cleanup after printing
  201. }
  203. void CBehaviorMonView::OnPrint(CDC* pDC, CPrintInfo* /*pInfo*/)
  204. {
  205. // TODO: add customized printing code here
  207. //*********************************************************************************
  208. void CBehaviorMonView::clear_list()
  209. {
  210. m_list_behavior.DeleteAllItems();
  211. num=0;
  212. char row_num[10];
  213. itoa(num,row_num,10); 
  214. strcat(row_num,"个行为");
  215. m_list_behavior.GetParent()->SetDlgItemText(IDC_STATIC_ROW,row_num);
  216. }
  217. /******************************************************************************
  218. *
  219. * FUNCTION: Split
  220. *
  221. * PURPOSE: Split a delimited line into components
  222. *
  223. ******************************************************************************/
  224. int Split( char * line, char delimiter, char * items[] )
  225. {
  226. int cnt = 0;
  228. for (;;)  {
  229. // Add prefix to list of components
  230. items[cnt++] = line;
  232. // Check for more components
  233. line = strchr( line, delimiter );
  234. if ( line == NULL )
  235. return cnt;
  237. // Terminate previous component and move to next
  238. *line++ = '';
  239. }
  240. }
  241. void displayError(char * s)
  242. {
  243.     LPVOID lpMsgBuf; 
  244.     FormatMessage( 
  245. FORMAT_MESSAGE_ALLOCATE_BUFFER | 
  246. FORMAT_MESSAGE_FROM_SYSTEM | 
  247. FORMAT_MESSAGE_IGNORE_INSERTS, 
  248. NULL, 
  249. GetLastError(), 
  250. MAKELANGID(LANG_NEUTRAL, SUBLANG_DEFAULT), // Default language 
  251. (LPTSTR) &lpMsgBuf, 
  252. 0, 
  253. NULL 
  254. ); 
  256.     // Process any inserts in lpMsgBuf. 
  257.     // ... 
  259.     // Display the string. 
  260. CString cs=CString(s)+" "+(LPCTSTR)lpMsgBuf;
  261.     AfxMessageBox(cs);
  263.     // Free the buffer. 
  264.     LocalFree( lpMsgBuf ); 
  265. }
  266. //安装设备驱动
  267. //安装了设备驱动后,设备驱动程序中负责创建一个新的虚拟设备
  268. void CBehaviorMonView::setup()
  269. {
  270. char namebuff[256]; 
  271. //get path to ths .sys.file
  272. GetModuleFileName(0,namebuff,256);
  273. DWORD  a=strlen(namebuff);
  274. while(1)
  275. {
  276. if(namebuff[a]=='\')break;
  277. a--;
  278. }
  279. a++;
  280. strcpy(&namebuff[a], "BehaviorMon.sys");
  281. /*
  282. 安装驱动程序流程:
  283. 1,调用OpenSCManager()打开服务控制管理器
  284. 2,调用CreateService()创建一个服务,服务类型为内核驱动
  285. 3,调用OpenService()取得服务句柄,启动服务
  286. 4,调用StartService()启动服务,停止服务
  287. 4,调用ControlService()停止服务,删除服务
  288. 4,调用DeleteService()删除服务
  289. 5,调用CloseServiceHandle()关闭服务句柄
  290. */
  291. //create service
  292. //system("msiexec /unregserver");
  293. SC_HANDLE t;SERVICE_STATUS stat;
  294. SC_HANDLE man=OpenSCManager(0,0,SC_MANAGER_ALL_ACCESS);
  296. t=OpenService(man,"behaviormonservice",SERVICE_ALL_ACCESS);
  297. ControlService(t,SERVICE_CONTROL_STOP,&stat);
  298. DeleteService(t);
  299. CloseServiceHandle(t);
  301. if(man==NULL)
  302. {
  303. displayError("打开服务管理器失败!");
  304. }
  305. t=CreateService(man,"behaviormonservice","behaviormonservice",
  306. SERVICE_START|SERVICE_STOP,SERVICE_KERNEL_DRIVER,SERVICE_DEMAND_START,SERVICE_ERROR_NORMAL,namebuff,0,0,0,0,0);
  307. if(t==NULL)
  308. {
  309. displayError("创建服务失败!");
  311. if(0==StartService(t,0,0))
  312. {
  313. displayError("启动服务失败!");
  314.     }    
  315. }
  318. //*********************************************************************************
  319. void CBehaviorMonView::cleanup()
  321. //结束线程hThread
  322. //TerminateThread(hThread,0);
  323. Capture=FALSE;
  325. Sleep(1500);
  327. unhook();
  329. SC_HANDLE man;
  330. if((man=OpenSCManager(0,0,SC_MANAGER_ALL_ACCESS))==NULL)
  331.     {
  332. displayError("打开服务管理器失败!");
  333.     }
  334. SERVICE_STATUS stat;
  335. SC_HANDLE t;
  336. if((t=OpenService(man,"behaviormonservice",SERVICE_ALL_ACCESS))==NULL)
  337.     {
  338. displayError("打开服务失败!");
  339.     }
  340. if(ControlService(t,SERVICE_CONTROL_STOP,&stat)==0)
  341.     {
  342. displayError("控制服务失败!");
  343.     } 
  344.     if (! DeleteService(t) ) 
  345.     {
  346. displayError("设备驱动卸载失败!");
  347.     }  
  348. if(!CloseServiceHandle(t))
  349. {
  350. displayError("关闭服务句柄失败!");
  351.     } 
  352. IsSetup=FALSE;
  353. }
  356. //*********************************************************************************
  357. //线程函数
  358. //*********************************************************************************
  359. static void threadfun()
  360. {  
  361. int j; 
  362. char name[1024];
  363. char row_num[20];
  365. while(1)
  366. {  
  367. while(log_behavior[curr_read_pointer].IsRead=='y')
  368. {
  369. Sleep(100);
  370. continue;
  371. }  
  373. //得到程序名+完整路径
  374. strcpy(name,log_behavior[curr_read_pointer].ProcessName); 
  375. strcat(name,"(");
  376. //进程的完整路径,用这个路径可以得到图标
  377. strcat(name,log_behavior[curr_read_pointer].ProcessFullName);
  378. strcat(name,")");
  380. //得到进程图标
  381. hIcon=ExtractIcon(AfxGetInstanceHandle(),log_behavior[curr_read_pointer].ProcessFullName,0);
  382. if(hIcon!=NULL)   
  383. j=images.Add(hIcon); 
  384. else
  385. {
  386. hIcon=AfxGetApp()->LoadIcon(IDI_ICON_DEFAULT);
  387. j=images.Add(hIcon);
  390. //得到序号
  391. ltoa(num,num_s,10);
  393. //加入列表中
  394. m_list_behavior.AddItem(
  395. j,//图标号
  396. num_s,//序号#
  397. _T(log_behavior[curr_read_pointer].Time),// time
  398. //_T("time"),
  399. _T(name),//processname:pid
  400. _T(log_behavior[curr_read_pointer].NativeAPIName),//NativeAPIname
  401. _T(log_behavior[curr_read_pointer].Behavior),//Behavior
  402. //_T("behavior"),
  403. _T("允许"));//result
  404. num++;
  405. //读取完成
  406. log_behavior[curr_read_pointer].IsRead='y';
  407. curr_read_pointer++;
  408. if(curr_read_pointer==LOG_BEHAVIOR_NUM)
  409. curr_read_pointer=0;
  410. //显示目前提取了多少个行为 
  411. itoa(num,row_num,10); 
  412. strcat(row_num,"个行为");
  413. m_list_behavior.GetParent()->SetDlgItemText(IDC_STATIC_ROW,row_num);
  414. }
  415. }
  416. //让驱动hook SSDT中指定的Native API
  417. void CBehaviorMonView::hook()
  419. int i; 
  420. hook_num=0;
  421. hook_API_info[hook_num++].nativeAPIname="NtRestoreKey";
  422. hook_API_info[hook_num++].nativeAPIname="NtOpenKey";
  423. hook_API_info[hook_num++].nativeAPIname="NtCreateKey";
  424. hook_API_info[hook_num++].nativeAPIname="NtQueryValueKey";
  425. hook_API_info[hook_num++].nativeAPIname="NtQueryKey";
  426. hook_API_info[hook_num++].nativeAPIname="NtDeleteKey";
  427. hook_API_info[hook_num++].nativeAPIname="NtDeleteValueKey";
  428. hook_API_info[hook_num++].nativeAPIname="NtSetValueKey";
  429. hook_API_info[hook_num++].nativeAPIname="NtEnumerateKey";
  430. hook_API_info[hook_num++].nativeAPIname="NtEnumerateValueKey";
  431. hook_API_info[hook_num++].nativeAPIname="NtOpenFile";
  432. hook_API_info[hook_num++].nativeAPIname="NtWriteFile";
  433. hook_API_info[hook_num++].nativeAPIname="NtCreateFile";
  434. hook_API_info[hook_num++].nativeAPIname="NtCreateProcess";
  435. hook_API_info[hook_num++].nativeAPIname="NtCreateProcessEx";
  436. hook_API_info[hook_num++].nativeAPIname="NtCreateSection";
  437. hook_API_info[hook_num++].nativeAPIname="NtOpenThread";
  438. hook_API_info[hook_num++].nativeAPIname="NtCreateThread";
  439. hook_API_info[hook_num++].nativeAPIname="NtOpenProcess";
  440. hook_API_info[hook_num++].nativeAPIname="NtOpenSection";
  441. hook_API_info[hook_num++].nativeAPIname="NtCreateSymbolicLinkObject";
  442. hook_API_info[hook_num++].nativeAPIname="NtSetSystemTime";
  444. //安装设备驱动
  445. //setup();
  446. //MessageBox("设备驱动安装成功!","提示",MB_OK);
  447. DWORD controlbuff[2048];
  448. DWORD dw;
  449.  
  450. //打开设备
  451. if(!device)
  452. device=CreateFile("\\.\BEHAVIORMON",GENERIC_READ|GENERIC_WRITE,0,0,OPEN_EXISTING,FILE_ATTRIBUTE_SYSTEM,0);
  454. // Have driver zero information
  455. if ( ! DeviceIoControl( device, IOCTL_BEHAVIORMON_ZEROSTATS,NULL, 0, NULL, 0, &dw, NULL ) ) 
  456. {
  457. return;
  458. }
  460. //告诉后台驱动hook上面的函数
  461. char * pcontrolbuff=(char *)controlbuff;
  462. int offsetcontrolbuff=0;
  463. //填写交换缓冲区的地址
  464. controlbuff[0]=(DWORD)&log_behavior[0];
  465. offsetcontrolbuff+=4;
  466. //填写LOG_BEHAVIOR数组的大小 
  467. controlbuff[1]=LOG_BEHAVIOR_NUM;
  468. offsetcontrolbuff+=4;
  469. //被Hook的NativeAPI的总个数
  470. controlbuff[2]=hook_num;
  471. offsetcontrolbuff+=4;
  472. //把前面要Hook的Native API函数的基本信息(name,index)写入controlbuff
  473. for(i=0;i<hook_num;i++)
  474. {
  475. DWORD * addr=(DWORD *)(1+(DWORD)GetProcAddress(GetModuleHandle("ntdll.dll"),hook_API_info[i].nativeAPIname));
  476. //被Hook的NativeAPI的名称
  477. strcpy(pcontrolbuff+offsetcontrolbuff,hook_API_info[i].nativeAPIname);
  478. offsetcontrolbuff+=strlen(hook_API_info[i].nativeAPIname);
  479. offsetcontrolbuff+=1;
  480. //被Hook的NativeAPI的Index
  481. //controlbuff[2]=addr[0];//函数调用地址的地址
  482. memmove(pcontrolbuff+offsetcontrolbuff,&addr[0],4);
  483. offsetcontrolbuff+=4;
  484. }
  485. /* 
  486. BOOL   DeviceIoControl(       
  487.   HANDLE   hDevice, //   handle   to   device   of   interest   
  488.   DWORD   dwIoControlCode, //   control   code   of   operation   to   perform   
  489.   LPVOID   lpInBuffer, //   pointer   to   buffer   to   supply   input   data   
  490.   DWORD   nInBufferSize, //   size   of   input   buffer   
  491.   LPVOID   lpOutBuffer, //   pointer   to   buffer   to   receive   output   data   
  492.   DWORD   nOutBufferSize, //   size   of   output   buffer   
  493.   LPDWORD   lpBytesReturned, //   pointer   to   variable   to   receive   output   byte   count   
  494.   LPOVERLAPPED   lpOverlapped   //   pointer   to   overlapped   structure   for   asynchronous   operation   
  495. ); */
  496. DeviceIoControl(device,IOCTL_BEHAVIORMON_HOOK,controlbuff,2048,controlbuff,2048,&dw,0);
  497. //控制定时器程序开始按时向驱动请求输出拦截到的行为数据
  498. Capture=TRUE;
  499. }
  500. //////////////////////////////////////////////////////////////////////////
  501. void CBehaviorMonView::unhook()
  502. {
  503. DWORD controlbuff[2048];
  504. DWORD dw;
  505. ZeroMemory(controlbuff,2048); 
  507. //打开设备
  508. if(!device)
  509. device=CreateFile("\\.\BEHAVIORMON",GENERIC_READ|GENERIC_WRITE,0,0,OPEN_EXISTING,FILE_ATTRIBUTE_SYSTEM,0);
  510. //控制设备
  511. DeviceIoControl(device,IOCTL_BEHAVIORMON_UNHOOK,controlbuff,2048,controlbuff,2048,&dw,0);
  512. }
  513. //////////////////////////////////////////////////////////////////////////
  514. void CBehaviorMonView::tell_driver_processname(CString processname)
  515. {
  516. DWORD controlbuff[2048];
  517. DWORD dw;
  518. ZeroMemory(controlbuff,2048);
  519. memcpy(controlbuff,processname,processname.GetLength()); 
  521. //打开设备
  522. if(!device)
  523. device=CreateFile("\\.\BEHAVIORMON",GENERIC_READ|GENERIC_WRITE,0,0,OPEN_EXISTING,FILE_ATTRIBUTE_SYSTEM,0);
  524. //控制设备,告诉驱动要监控的程序全路径
  525. DeviceIoControl(device,IOCTL_BEHAVIORMON_PROC,controlbuff,2048,controlbuff,2048,&dw,0);
  526. }
  527. /////////////////////////////////////////////////////////////////////////////
  528. // CBehaviorMonView diagnostics
  530. #ifdef _DEBUG
  531. void CBehaviorMonView::AssertValid() const
  532. {
  533. CFormView::AssertValid();
  534. }
  536. void CBehaviorMonView::Dump(CDumpContext& dc) const
  537. {
  538. CFormView::Dump(dc);
  539. }
  541. CBehaviorMonDoc* CBehaviorMonView::GetDocument() // non-debug version is inline
  542. {
  543. ASSERT(m_pDocument->IsKindOf(RUNTIME_CLASS(CBehaviorMonDoc)));
  544. return (CBehaviorMonDoc*)m_pDocument;
  545. }
  546. #endif //_DEBUG
  548. /////////////////////////////////////////////////////////////////////////////
  549. // CBehaviorMonView message handlers
  551. void CBehaviorMonView::OnClose() 
  552. {
  553. // TODO: Add your message handler code here and/or call default
  554. KillTimer( 1 );
  556. CFormView::OnClose(); 
  557. }
  559. void CBehaviorMonView::OnSize(UINT nType, int cx, int cy) 
  560. {
  561. CFormView::OnSize(nType, cx, cy);
  563. // TODO: Add your message handler code here
  564. CRect   rect;   
  565. this->GetWindowRect(&rect);   
  566. CRect   rect_button;
  567. CWnd   *pList   =   this->GetDlgItem(IDC_LIST_BEHAVIOR); 
  568. CWnd   *pButton_Hook   =   this->GetDlgItem(IDC_BUTTON_HOOK); 
  569. CWnd   *pButton_Unhook   =   this->GetDlgItem(IDC_BUTTON_UNHOOK); 
  570. CWnd   *pStatic_row   =   this->GetDlgItem(IDC_STATIC_ROW);
  572. if(pList != NULL){   
  573. pList->ScreenToClient(&rect);   
  574. pList->SetWindowPos(NULL,5,0,rect.Width()-15,rect.Height()-40,SWP_NOZORDER | SWP_NOACTIVATE);      
  575. }  
  576. if(pButton_Hook != NULL){   
  577. pButton_Hook->GetWindowRect(&rect_button); 
  578. pButton_Hook->ScreenToClient(&rect);   
  579. pButton_Hook->SetWindowPos(NULL,10,rect.Height()-30,rect_button.Width(),rect_button.Height(),SWP_NOZORDER | SWP_NOACTIVATE);      
  580. }  
  581. if(pButton_Unhook != NULL){   
  582. pButton_Unhook->GetWindowRect(&rect_button); 
  583. pButton_Unhook->ScreenToClient(&rect);   
  584. pButton_Unhook->SetWindowPos(NULL,10+rect_button.Width()+5,rect.Height()-30,rect_button.Width(),rect_button.Height(),SWP_NOZORDER | SWP_NOACTIVATE);      
  585. }  
  586. if(pStatic_row != NULL){   
  587. pStatic_row->GetWindowRect(&rect_button); 
  588. pStatic_row->ScreenToClient(&rect);   
  589. pStatic_row->SetWindowPos(NULL,rect.Width()-60,rect.Height()-30,rect_button.Width(),rect_button.Height(),SWP_NOZORDER | SWP_NOACTIVATE);      
  591. }
  593. void CBehaviorMonView::OnClickListBehavior(NMHDR* pNMHDR, LRESULT* pResult) 
  594. {
  595. // TODO: Add your control notification handler code here
  597. *pResult = 0;
  598. }
  600. void CBehaviorMonView::OnButtonHook() 
  601. {
  602. // TODO: Add your control notification handler code here
  603. if(!IsSetup)
  604. {
  605. setup();
  606. IsSetup=TRUE;
  607. }
  608. hook();
  609. CWnd   *pButton_Hook   =   this->GetDlgItem(IDC_BUTTON_HOOK); 
  610. CWnd   *pButton_Unhook   =   this->GetDlgItem(IDC_BUTTON_UNHOOK); 
  611. pButton_Hook->EnableWindow(FALSE);
  612. pButton_Unhook->EnableWindow(TRUE);
  613. }
  615. void CBehaviorMonView::OnButtonUnhook() 
  616. {
  617. // TODO: Add your control notification handler code here
  618. unhook();
  619. CWnd   *pButton_Hook   =   this->GetDlgItem(IDC_BUTTON_HOOK); 
  620. CWnd   *pButton_Unhook   =   this->GetDlgItem(IDC_BUTTON_UNHOOK); 
  621. pButton_Unhook->EnableWindow(FALSE);
  622. pButton_Hook->EnableWindow(TRUE);
  623. }
  625. void CBehaviorMonView::OnTimer(UINT nIDEvent) 
  626. {
  627. int j; 
  628. char name[1024];
  629. char row_num[20];
  630. PENTRY ptr;
  631. size_t  len;
  632. PCHAR Buffer;
  633. DWORD BufLen;
  634. char *items[NUMCOLUMNS];
  635. int itemcnt = 0; 
  636. float elapsed;
  637. char timeBuf[64], timeSub[64];
  638. int msIndex = 0; 
  639. char *secondsPtr;
  640. FILETIME localTime;
  641. SYSTEMTIME systemTime;
  642. LONGLONG time;
  643. LONGLONG perftime;
  645. // Time to query the device driver for more data
  646. if ( Capture )  {
  648. //打开设备
  649. if(!device)
  650. device=CreateFile("\\.\BEHAVIORMON",GENERIC_READ|GENERIC_WRITE,0,0,OPEN_EXISTING,FILE_ATTRIBUTE_SYSTEM,0);
  652. // don't process for more than a second without pausing
  653. startTime = GetTickCount();
  654. for (;;)  {
  656. // Have driver fill Stats buffer with information
  657. if ( ! DeviceIoControl( device, IOCTL_BEHAVIORMON_GETSTATS,
  658. NULL, 0, &Stats, sizeof Stats,
  659. &StatsLen, NULL ) )
  660. {
  661. //AfxMessageBox("Couldn't access device driver");
  662. return;
  663. }
  664. if ( StatsLen == 0 || StatsLen == 1 )
  665. break;
  667. // Update statistics windows
  668. // 向列表中添加一行 
  670. //得到程序名+完整路径
  671. Buffer=Stats;
  672. BufLen=StatsLen;
  673. for ( ptr = (PENTRY)Buffer; (char *)ptr < min(Buffer+BufLen,Buffer + LOGBUFSIZE); )  {
  675. len = strlen(ptr->text);
  676. len += 4; len &= 0xFFFFFFFC; // +1 for null-terminator +3 for 32bit alignment
  677. //----------------------------------------------------------- 
  678. // Split line into columns
  679. itemcnt = Split( ptr->text, 't', items );
  680. if ( itemcnt == 0 )
  681. return;
  683. strcpy(name,items[0]); 
  684. strcat(name,"(");
  685. //进程的完整路径
  686. strcat(name,items[2]);
  687. strcat(name,")");
  689. //得到进程图标
  690. hIcon=ExtractIcon(AfxGetInstanceHandle(),items[2],0);
  691. if(hIcon!=NULL)   
  692. j=images.Add(hIcon); 
  693. else
  694. {
  695. hIcon=AfxGetApp()->LoadIcon(IDI_ICON_DEFAULT);
  696. j=images.Add(hIcon);
  699. time=ptr->time.QuadPart;
  700. perftime=ptr->perftime.QuadPart;
  701. // format timestamp according to user preference
  702. if( ClockTime ) {
  704. if( IsNT ) {
  705. FileTimeToLocalFileTime( (PFILETIME) &time, &localTime );
  706. FileTimeToSystemTime( &localTime, &systemTime );
  707. } else {
  708. DosDateTimeToFileTime( (WORD) (time >> 48), (WORD) (time >> 32), &localTime );
  709. FileTimeToSystemTime( &localTime, &systemTime );
  710. systemTime.wSecond += ((WORD) time) / 1000;
  711. systemTime.wMilliseconds = ((WORD) time) % 1000;
  712. }
  713. GetTimeFormat( LOCALE_USER_DEFAULT, 0,
  714. &systemTime, NULL, timeBuf, 64 ); 
  716. secondsPtr = strrchr( timeBuf, ':');
  717. msIndex = (DWORD) (secondsPtr - timeBuf);
  718. while( timeBuf[msIndex] && timeBuf[msIndex] != ' ') msIndex++;
  719. strcpy( timeSub, &timeBuf[msIndex] );
  720. timeBuf[ msIndex ] = 0;
  721. sprintf( msgbuf, "%s.%03d%s", timeBuf, systemTime.wMilliseconds, timeSub );
  722.  
  723. } else {
  725. // convert to elapsed microseconds since start of regmon or last
  726. // gui clear
  727. if( IsNT ) {
  728. elapsed = ((float) perftime)/(float)PerfFrequency.QuadPart;
  729. sprintf( msgbuf, "%10.8f", elapsed );
  730. } else {
  731. sprintf( msgbuf, "%10.8f", perftime * 0.8 / 1e6);
  732. }
  734.  
  735. //得到序号
  736. ltoa(num,num_s,10);
  737. //加入列表中
  738. m_list_behavior.AddItem(
  739. j,//图标号
  740. num_s,//序号#
  741. _T(msgbuf),// time 
  742. _T(name),//processname:pid
  743. _T(items[1]),//NativeAPIname
  744. _T(items[4]),//Behavior 
  745. _T(items[3]));//result
  746. num++; 
  747. //显示目前提取了多少个行为 
  748. itoa(num,row_num,10); 
  749. strcat(row_num,"个行为");
  750. m_list_behavior.GetParent()->SetDlgItemText(IDC_STATIC_ROW,row_num);
  751. //-----------------------------------------------------------
  752. ptr = (PENTRY)(ptr->text + len);
  753. }
  754. //////////////////////////////////////////////////
  755. if( GetTickCount() - startTime > 1000 ) break;
  756. }
  757. }
  758. CFormView::OnTimer(nIDEvent);
  759. }
  761. int CBehaviorMonView::OnCreate(LPCREATESTRUCT lpCreateStruct) 
  762. {
  763. if (CFormView::OnCreate(lpCreateStruct) == -1)
  764. return -1;
  766. // TODO: Add your specialized creation code here
  767. SetTimer( 1, 500/*ms*/, NULL );
  768. // determine performance counter frequency
  769. QueryPerformanceFrequency( &PerfFrequency );
  770. return 0;
  771. }