开通博客赚积分
发布资源赚积分
分类

源码开发语言/平台
当前位置:首页 > 源码/资料 > Windows编程 > 钩子与API截获 > 查看源码
NtProcessMonitor.h
资源名称:apihook_Code.zip [点击查看]
上传用户:jstlsd
上传日期:2007-01-13
资源大小:186k
文件大小:2k
源码类别:

钩子与API截获

开发平台:

Visual C++

NtProcessMonitor.h:源码内容
  1. //---------------------------------------------------------------------------
  2. //
  3. // NtProcessMonitor.h
  4. //
  5. // SUBSYSTEM: 
  6. // API Hooking system
  7. // MODULE:    
  8. // Implements a thread that uses an NT device driver
  9. //              for monitoring process creation
  10. //
  11. // DESCRIPTION:
  12. //
  13. // AUTHOR: Ivo Ivanov (ivopi@hotmail.com)
  14. //                                                                         
  15. //---------------------------------------------------------------------------
  17. #if !defined(_NTPROCESSMONITOR_H_)
  18. #define _NTPROCESSMONITOR_H_
  20. #if _MSC_VER > 1000
  21. #pragma once
  22. #endif // _MSC_VER > 1000
  24. #include "..CommonLockMgr.h"
  26. //---------------------------------------------------------------------------
  27. //
  28. // typedefs
  29. //
  30. //---------------------------------------------------------------------------
  32. // Structure for Process callback information
  33. typedef struct _CallbackInfo
  34. {
  35.     HANDLE  ParentId;
  36.     HANDLE  ProcessId;
  37.     BOOLEAN bCreate;
  38. } CALLBACK_INFO, *PCALLBACK_INFO;
  40. //---------------------------------------------------------------------------
  41. //
  42. // Forward declararion
  43. //
  44. //---------------------------------------------------------------------------
  46. class CNtDriverController;
  48. //---------------------------------------------------------------------------
  49. //
  50. // class CNtProcessMonitor
  51. //
  52. //---------------------------------------------------------------------------
  53. class CNtProcessMonitor  
  54. {
  55. public:
  56. CNtProcessMonitor();
  57. virtual ~CNtProcessMonitor();
  58. //
  59. // Activate / Stop the thread which gets the notification from the 
  60. // device driver
  61. //
  62. void SetActive(BOOL bVal);
  63. HANDLE Get_ShutdownEvent() const;
  64. HANDLE Get_ProcessEvent() const;
  65. //
  66. // Retrieves data from the driver after received notification 
  67. //
  68. void RetrieveProcessInfo(
  69. CALLBACK_INFO& callbackInfo,
  70. CALLBACK_INFO& callbackTemp
  71. );
  72. protected:
  73. virtual void OnCreateProcess(DWORD dwProcessId) = 0;
  74. virtual void OnTerminateProcess(DWORD dwProcessId) = 0;
  75. private:
  76. BOOL Get_ThreadActive();
  77. void Set_ThreadActive(BOOL val);
  78. static unsigned __stdcall ThreadFunc(void* pvParam);
  80. CNtDriverController* m_pDriverCtl;
  81. CCSWrapper           m_CritSec;
  82. HANDLE               m_hShutdownEvent;
  83. HANDLE               m_hProcessEvent; 
  84. BOOL                 m_bThreadActive;
  85. DWORD                m_dwThreadId;
  86. HANDLE               m_hDriver;
  87. };
  89. #endif // !defined(_NTPROCESSMONITOR_H_)
  90. //----------------------------End of the file -------------------------------