用PsSetCreateProcessNotifyRoutine，PsSetCreateThreadNotifyRoutine来进行进程线程监控我想大家已经都非常熟练了。前一段时间看到网上有人在研究监视远线程的文章，比较有意思。就写代码玩一玩。这之中就出现了一些问题，比方说直接用sinister的代码的话，是不能动态卸载的，因为他在安装了进线程监视函数后没有进行清除动作，造成在动态卸载时蓝屏。 BUGCHECK为0x000000ce，错误码为： DRIVER_UNLOADED_WITHOUT_CANCELLING_PENDING_OPERATIONS 很显然，在驱动退出后，一些进线程操作仍然在访问原来的地址，造成出错。在XP后，微软给出了一个函数PsRemoveCreateThreadNotifyRoutine用来清除线程监视函数(清除进程监视的就是PsSetCreateProcessNotifyRoutine)。我一直奇怪ICESWORD在Windows2000中是怎么做到进线程监视的。后来才发现，在运行icesword后释放出一个detport.sys文件，然后一直在系统中存在着没有卸载掉。只是把它隐藏了而已。这不是个好消息，难道我为了测试一个驱动，测试一次就得重启一次吗？呵呵，肯定不是啊，所以想办法搞定它。 我们来看一下进线程监视在底层是如何实现的，在Windows2000源代码中先找到创建线程的函数实现： ////////////////////////////////////////////////////////////////////////////////////////// // // \win2k\private\ntos\ps\create.h // ////////////////////////////////////////////////////////////////////////////////////////// NTSTATUS PspCreateThread( ... ... ) { ... if (PspCreateProcessNotifyRoutineCount != 0) { //首先调用进程监控函数 ULONG i; for (i=0; iInheritedFromUniqueProcessId, Process->UniqueProcessId, TRUE ); } } } } ... ... if (PspCreateThreadNotifyRoutineCount != 0) { ULONG i; for (i=0; iCid.UniqueProcess, Thread->Cid.UniqueThread, TRUE ); } } } ... ... } 从上面可以看到，在每创建一个线程后会调用PspCreateProcessNotifyRoutine[i]地址指向的函数。而PsSetCreateThreadNotifyRoutine的作用就是将PspCreateThreadNotifyRoutine[i]数组设置值，该值就是监视函数的地址。 NTSTATUS PsSetCreateThreadNotifyRoutine( IN PCREATE_THREAD_NOTIFY_ROUTINE NotifyRoutine ) { ULONG i; NTSTATUS Status;