安全稳定的实现进线程监控(2)

发布者: lvvl 2011年12月26日围观次点赞:0

先用驱动加载工具加载驱动，再运行程序，可以监视到进程线的操作信息，并且可以实现监视远线程的创建。个人认为很完美。

下面的运行结果：

hEvent:00000010
      [Process Name]    [PID]    [TID]    [Parent Process Name]    [PID]    [TID]
T:       svchost.exe      940     3540              svchost.exe      940
T:      explorer.exe     1680     3564             explorer.exe     1680
P:       notepad.exe     3568     1684             explorer.exe     1680
T:       notepad.exe     3568     3572             explorer.exe     1680
T:       svchost.exe     1036     3576              svchost.exe     1036
T:           cmd.exe     3580     3084             explorer.exe     1680
P:        doskey.exe     3608     3084                  cmd.exe     3580
T:       taskmgr.exe      352     3752             explorer.exe     1680
T:       svchost.exe     1036     2492              svchost.exe     1036
T:        remote.exe     3824     3828                  cmd.exe     3580
==============================Remote Thread :==============================
T:            hh.exe     3116     3832               remote.exe     3824
============================================================================

顶(0)

踩(0)

【搜索相关内容】[打印] [关闭]

上一篇：抓住黑客　收集入侵Windows系统的证据

下一篇：设个陷阱来逮住黒客

最新评论

安全稳定的实现进线程监控(2)

您可能还会对下面的文章感兴趣：

相关文章