驱动程序到用户模式的通信

Question

我正在尝试编写一个工具来监控进程。只要创建了具有系统权限的高权限进程，它就会向用户发出警报。我正在使用一个监控每个进程创建的驱动程序和一个用户模式应用程序来检查它是否在系统下运行，如果是，则发出警报。要做到这一点，用户模式应用程序应该侦听驱动程序。我正在尝试用event来做这件事。只要创建了一个进程，驱动程序就会用IoCreateNotificationEvent通知事件(使用模式的应用程序通过WaitForSingleObject监听)，然后应用程序会向驱动程序发送一个IRP来获取pid。这对我来说并不好用，我正在寻找其他方法来完成从司机到监听用户模式应用程序的通信，但我找不到这样的方法。我怎么才能让它工作呢？

感谢你的帮助

Answer 1

通常的方法是使用异步IOCTL，完全忘记事件，如果没有未完成的进程创建要读取，只需让驱动程序保存IOCTL，然后在获得新进程时完成IOCTL。这确实要求客户端在进程创建之前提交IOCTL请求。为了获得最好的结果，我建议您将设备句柄绑定到IOCP (我发现IOCP比跟踪哪个事件与哪个重叠的事件更容易处理)。

Answer 2

从驱动程序到用户模式进程通信的另一种方法是用户模式进程在消息模式下打开管道并监听来自内核的消息。它比实现异步IOCTL更简单，因为您不必处理可能需要取消的挂起IOCTL。确保在打开管道时，它是正确的ACL，以便只有内核可以与用户模式进程打开的管道进行通信。