09年初刚到现在这家公司,头让做一个进程防杀的功能,为了保护我们的软件的服务程序,类似360或瑞星这样的安全产品都有进程防杀的功能。研究了一个多月,总结网上的各种防杀方法并参考其代码,特此将各种实现方法归纳为以下6种,并将其对应源码奉上。
源码全部经过自己修改调试,部分为原创,在vs2005下调试通过,在各种windows操作系统下测试过
源码地址:http://download.youkuaiyun.com/user/woshiyipihaoma
1. ring3提升线程为系统线程
原理:windows在强制结束进程的时候会先结束掉所有的线程,把程序的线程改成系统线程,就可以达到防杀的目的
优点:ring3实现的进程防杀,无驱动无hook,原理及代码都较为简单,能防止任务管理器杀掉进程
缺点:只能下xp下有效(与xp打的补丁也有关,有的xp系统会失败)防杀能力有限,例如不能防住IceSword等工具
该方法是参考了csdn一位朋友的做法,原文地址为 http://blog.youkuaiyun.com/KeSummer/archive/2008/05/18/2455379.aspx
2.hookApi之NtQuerySystemInformation
原理:hook NtQuerySystemInformation 来隐藏进程
优点:ring3实现的进程隐藏,无驱动,能在任务管理器里隐藏进程
缺点:只能在nt2000下隐藏进程,通用性较差
3.detours库实现进程防杀
原理:和2类似,hook OpenProcess 来防杀进程
优点:防杀能力和通用性都较强,在nt2000,xp,2003均可防杀
缺点:hookApi是用detours库来实现的,2008下防杀失败,不能防住某些进程工具
4.hook任务管理器结束进程事件
原理:挂钩任务管理器窗口,利用CBT钩子拦截结束进程消息
优点:通用性较强,任意的windows平台均可防止任务管理器杀进程
缺点:只能针对windows任务管理起到防杀作用
5.双进程保护
原理:主进程和守护进程互相监控,发现对方不在就启动对方。为了避免父子进程关系,主进程启动临时进程,临时进程启动守护进程
优点:通用性较强,保护能力较强,可保护windows服务程序。hook防杀需要主程序和桌面交互的,而服务程序是不和桌面交互的
缺点:非真正的防杀,只是杀了又启,手段有点不入流
6.驱动级进程保护
原理:驱动级的ZwQuerySystemInformation hook,来隐藏或防杀进程
优点:防杀能力较强,在IceSword 1.2.2版本下测试通过
缺点:加载有驱动,程序实现较为复杂,驱动级hook被360等杀毒工具检测为木马
扫一扫
789
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
