内核监控：进程与线程创建回调机制详解.pdfVIP

面的文章中LyShark一直在重复实现对系统底层模块的枚举，今天展开一个新的话题：内核

。我们以进程和线程的创建为例，在Win10系统中进程与线程可以使用微软的两个新函

数来实现。此类函数的原理是创建一个回调，当有进程或线程被创建或注销时，系统会通过回调机制

将该进程的相关信息优先返回给我们的函数，待处理结束后再转向系统层。

进程回调默认会设置CreateProcess，而线程回调则会设置CreateThread，我们来看ARK工

具中的枚举效果。

通常情况下:

PsSetCreateProcessNotifyRoutineEx用于进程

PsSetCreateThreadNotifyRoutine用于线程

进程的启动与可以使用PsSetCreateProcessNotifyRoutineEx来创建回调，当新进程创建

时会优先执行回调，我们看下微软是如何定义的结构。

//参数1:新进程回调函数

//参数2:是否注销

NTSTATUSPsSetCreateProcessNotifyRoutineEx([in]