回答編集履歴

文言修正

2019/12/06 03:06

投稿

スコア2626

test CHANGED Viewed

@@ -74,7 +74,7 @@
-プログラムの IAT(Import Address Table) を書き換えて、自分で用意した関数のアドレスを呼ばせます。
+プログラムの IAT(Import Address Table) を書き換えて、自分で用意した関数を呼ばせます。
 CreteProcess と GetProcAddress が対象になります。

ドライバーを使わない方法

2019/12/06 03:06

投稿

スコア2626

test CHANGED Viewed

@@ -47,3 +47,59 @@
 「Windows Driver Kit (WDK) のダウンロード」
 [https://docs.microsoft.com/ja-jp/windows-hardware/drivers/download-the-wdk](https://docs.microsoft.com/ja-jp/windows-hardware/drivers/download-the-wdk)
+#追記
+ドライバーの作り方については
+「初めてのドライバーの作成」
+[https://docs.microsoft.com/ja-jp/windows-hardware/drivers/gettingstarted/writing-your-first-driver](https://docs.microsoft.com/ja-jp/windows-hardware/drivers/gettingstarted/writing-your-first-driver)
+を紹介しておきます。（私もわからないですし）
+ドライバーを使わない方法だと
+(1) DLL インジェクション
+プログラムの IAT(Import Address Table) を書き換えて、自分で用意した関数のアドレスを呼ばせます。
+CreteProcess と GetProcAddress が対象になります。
+現状、32bit/64bit プロセスが混在する環境があるので対応が難しいと思います。
+(2) CreateWindow を捕まえてお茶を濁す。
+SetWindowsHookEx で WH_CBT フックを行います。
+「280_アプリの起動と終了を知る WH_CBT フック」
+[http://mrxray.on.coocan.jp/Delphi/plSamples/280_HookCBTActivate.htm](http://mrxray.on.coocan.jp/Delphi/plSamples/280_HookCBTActivate.htm)
+実際にやっているのは CreateWindow の補足で、起動を補足しているわけではないです。
+Delphi で書かれてますが、使っている API は参考になるかと。

リンク追加

2019/12/06 03:05

投稿

スコア2626

test CHANGED Viewed

@@ -4,13 +4,13 @@
 「Detecting Windows NT/2K process execution」
-https://www.codeproject.com/Articles/2018/Detecting-Windows-NT-2K-process-execution
+[https://www.codeproject.com/Articles/2018/Detecting-Windows-NT-2K-process-execution](https://www.codeproject.com/Articles/2018/Detecting-Windows-NT-2K-process-execution)
 ユーザ登録すればソースコードがダウンロードできます。
-https://www.codeproject.com/KB/threads/procmon/ProcMon.zip
+[https://www.codeproject.com/KB/threads/procmon/ProcMon.zip](https://www.codeproject.com/KB/threads/procmon/ProcMon.zip)