回答編集履歴

文言修正

2019/12/06 03:06

投稿

KOZ6.0

スコア2736

answer CHANGED Viewed

@@ -36,7 +36,7 @@
 (1) DLL インジェクション
-プログラムの IAT(Import Address Table) を書き換えて、自分で用意した関数のアドレスを呼ばせます。
+プログラムの IAT(Import Address Table) を書き換えて、自分で用意した関数を呼ばせます。
 CreteProcess と GetProcAddress が対象になります。
 現状、32bit/64bit プロセスが混在する環境があるので対応が難しいと思います。

ドライバーを使わない方法

2019/12/06 03:06

投稿

KOZ6.0

スコア2736

answer CHANGED Viewed

@@ -22,4 +22,32 @@
 ntddk.h と NtosKrnl.lib は WDK に入っていると思います。(未確認)
 「Windows Driver Kit (WDK) のダウンロード」
-[https://docs.microsoft.com/ja-jp/windows-hardware/drivers/download-the-wdk](https://docs.microsoft.com/ja-jp/windows-hardware/drivers/download-the-wdk)
+[https://docs.microsoft.com/ja-jp/windows-hardware/drivers/download-the-wdk](https://docs.microsoft.com/ja-jp/windows-hardware/drivers/download-the-wdk)
+#追記
+ドライバーの作り方については
+「初めてのドライバーの作成」
+[https://docs.microsoft.com/ja-jp/windows-hardware/drivers/gettingstarted/writing-your-first-driver](https://docs.microsoft.com/ja-jp/windows-hardware/drivers/gettingstarted/writing-your-first-driver)
+を紹介しておきます。（私もわからないですし）
+ドライバーを使わない方法だと
+(1) DLL インジェクション
+プログラムの IAT(Import Address Table) を書き換えて、自分で用意した関数のアドレスを呼ばせます。
+CreteProcess と GetProcAddress が対象になります。
+現状、32bit/64bit プロセスが混在する環境があるので対応が難しいと思います。
+(2) CreateWindow を捕まえてお茶を濁す。
+SetWindowsHookEx で WH_CBT フックを行います。
+「280_アプリの起動と終了を知る WH_CBT フック」
+[http://mrxray.on.coocan.jp/Delphi/plSamples/280_HookCBTActivate.htm](http://mrxray.on.coocan.jp/Delphi/plSamples/280_HookCBTActivate.htm)
+実際にやっているのは CreateWindow の補足で、起動を補足しているわけではないです。
+Delphi で書かれてますが、使っている API は参考になるかと。

リンク追加

2019/12/06 03:05

投稿

KOZ6.0

スコア2736

answer CHANGED Viewed

@@ -1,10 +1,10 @@
 解説とサンプルコードが以下にあります。
 「Detecting Windows NT/2K process execution」
-https://www.codeproject.com/Articles/2018/Detecting-Windows-NT-2K-process-execution
+[https://www.codeproject.com/Articles/2018/Detecting-Windows-NT-2K-process-execution](https://www.codeproject.com/Articles/2018/Detecting-Windows-NT-2K-process-execution)
 ユーザ登録すればソースコードがダウンロードできます。
-https://www.codeproject.com/KB/threads/procmon/ProcMon.zip
+[https://www.codeproject.com/KB/threads/procmon/ProcMon.zip](https://www.codeproject.com/KB/threads/procmon/ProcMon.zip)
 PsSetCreateProcessNotifyRoutine という API を使っているのですが カーネルモードで動作する API なのでドライバーを書く必要があるようです。
 zip に含まれている ProcObsrv.sys がドライバーです。