[发明专利]进程监控方法

权利要求书

1.一种进程监控方法，其特征在于，所述进程监控方法包括步骤：

S1：获取NtCreateSection的API地址，用DetourNtCreateSection替换原来的NtCreateSection；

S2：根据DetourNtCreateSection对要创建的进程进行监控。

2.根据权利要求1所述的进程监控方法，其特征在于，所述步骤S1具体包括：

步骤S11：获取NtCreateSection的服务ID号；

步骤S12：根据所获取的NtCreateSection的服务ID号计算得到所述NtCreateSection的API地址；

步骤S13：用DetourNtCreateSection替换原来的NtCreateSection。

3.根据权利要求2所述的进程监控方法，其特征在于，在步骤S12之后还进一步包括把源API地址记录到一个全局变量的步骤。

4.根据权利要求2所述的进程监控方法，其特征在于，在步骤S13之前还进一步包括使中断请求级别IRQL提升到延迟过程调用DPC级的步骤。

5.根据权利要求1所述的进程监控方法，其特征在于，所述步骤S2具体包括：

步骤S21：根据DetourNtCreateSection中的最后一个参数FileHandle利用ObReferenceObject API得到将要创建的进程的文件对象FileObject；

步骤S22：判断文件对象是否为空？如果文件对象为空，则进入步骤S27，否则，进入步骤S23；

步骤S23：通过IoQueryFileDosDeviceName API根据FileObject得到正在创建进程的文件名；

步骤S24：根据所述文件名判断所述正在创建进程的文件是不是.exe文件？如果是，进入步骤S25，否则，进入步骤S27；

步骤S25：判断该正在创建进程的文件是不是在白名单中？如果是，进入步骤S27，否则，进入步骤S26；

步骤S26：调用ObDereferenceObjectAPI对这个文件对象的计数减1并返回STATUS_ACCESS_DENIED表示这个进程创建失败；

步骤S27：调用原始的NtCreateSecion。

6.根据权利要求5所述的进程监控方法，其特征在于，在所述步骤S25之前进一步包括根据文件句柄得到文件路径的步骤；则步骤S25具体包括：根据文件名和文件路径判断该正在创建进程的文件是不是在白名单中？如果是，进入步骤S27，否则，进入步骤S26。