实验内容
监测给定PID值的进程调用NtCreateFile次数
在EPROCESS中增加一项数据: NtCreateFileCnt来记录当前进程调用NtCreateFile的次数
注意NtCreateFileCnt的初始化问题(NtCreateProcess)
增加一个新系统调用,可以将指定Pid号的进程的NtCreateFileCnt显示出来
1)在内核中DbgPrint输出
2)返回给用户态程序并输出
3)输出内容必须包括:学号、进程PID、次数
以Notepad.exe等为测试程序
第一部分 编译系统内核
编译系统内核代码的bat批处理文件
编译成功
拷贝新内核文件到%windir%\system32目录
wrkx86.exe
halacpim.dll(在Virtual PC中使用该文件)
第二部分 在SourceInsight查看修改源代码
在SourceInsight新建一个项目Project->NewProject
在EPROCESS结构体中定义新的变量XgyCreateFileCnt
在合适的位置初始化变量,赋初值为0
[Create.c (base\ntos\ps)]
当调用NtCreateFile时对定义的XgyCreateFileCnt进行加1操作,实现进程调用的统计
增加一个新系统调用,可以将指定Pid号的进程的XgyCreateFileCnt显示出来
1)在内核中DbgPrint输出
2)返回给用户态程序并输出
3)输出内容必须包括:学号、进程PID、次数
第三部分 测试
以Notepad.exe等为测试程序
在VC中新建一个控制台程序
用户态代码:
执行结果
在任务管理器中显示进程,查看->选择列,勾选PID(进程标识符)