全局监控进程创建and禁止结束某进程

最新推荐文章于 2021-04-28 16:15:19 发布
原创 最新推荐文章于 2021-04-28 16:15:19 发布 · 1.7k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一种使用APIHook64类来全局监控进程创建和防止特定进程被结束的方法。通过在内存中挂钩API,实现对目标进程的控制。详细展示了APIHook64类的构造函数及Hook函数的实现过程,涉及到的关键步骤包括获取函数地址、修改内存保护属性、写入钩子代码等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

32位系统直接传统Hook就Ok了,但是64位系统就不行了,需要改动一下汇编代码

64位系统Hook需求
1.目标进程64位
2.注入程序64位
3.dll64位
以上条件必须都满足方可Hook64程序

--------------------------------------------------------------------------------------------------------
全局监控进程创建思路
Hook组员管理器explorer.exe
因为用户点击软件启动时实际上是由资源管理器负责创建进程的
资源管理器调用的创建进程API:CreateProcessW
所以我们只需要Hook CreateProcessW即可
然后回调函数中添加过滤放行或禁止就好了
效果图
测试环境:Win7 64bit

当我们点击某个应用程序时
 
最低0.47元/天 解锁文章

200万优质内容无限畅学
禁止进程结束 禁用任务管理器结束程序
06-06
已经写好的dll,直接调用里面的2个函数就可以了
进程保护】让程序禁止结束进程提示拒绝访问,可调用API
05-10
类似于360,腾讯管家等在任务管理器中无法结束提示拒绝访问 使用驱动写的,支持WIN10,WIN8,WIN7等系统。所有程序都可调用,有API帮助教程 由于是驱动,所以打开的时候杀毒软件会报毒 可以用程序调用且传入要保护的进程名即可,保护完成后程序自动退出(但是无法取消保护,不过程序自己可以正常退出) 压缩包里有GIF教程图片
SSDT HOOK禁止指定进程结束
yiyefangzhou24的专栏
03-08 3182
  经过两个星期的折腾,SSDT HOOK终于成功了,在这里首先感谢论坛里的一位大神,真的是非常感谢,他的ID是什么记不得了,加了他的好友,记得他的名字下面写着列宁两个字,呵呵很有趣的名字啊,想加的人可以看一看我发的帖子。  这里闲扯淡两句,论坛里的大神级别的人物还是不少的,我们不能用等级来衡量一个人的知识水平,就像那天看到一个急聘c++高级程序员的帖子,两星级以上的用户优先录取,我觉着吧,这是不明智的举动,我认识的那位内核大神就是五裤衩的裤衩级用户。有人说的对,裤衩级的大神多得是,星级的菜鸟也到处都是。 
如何禁止用户通过任务管理器终止进程的一种方法(Win2000/xp)
zwhuang的专栏
12-21 2896
通过WH_CBT类型的HOOK 和nIndex为GWL_WNDPROC的SetWindowLong实现进程保护。实现的范例下载:附件[SafeProcess.rar]:http://blog.blogchina.com/upload/2004-12-20/20041220143803647829.rar1. 通过Timer过程或其他方式查找Windows任务管理器窗口是否存在。   
VC禁止在任务管理器中结束进程
dingxz105090的专栏
05-28 3289
转自百度空间:http://hi.baidu.com/175943462/item/657905e13b73b70b8d3ea8bb 一提到进程保护特别是在Windows下,没有最安全,只有更安全。下面的代码是在用户层,截获任务管理器的本进程名(Test.exe)被选中时的消息,以防止用任务管理器结束进程(当然你用其他进程工具当然可以结束掉咯!)。主要是要学习这里面
进程创建监控
07-31
在IT领域,进程创建监控是系统管理与安全分析的重要组成部分,尤其在Ring3和Ring0级别的控制中,这种监控能够提供深入的系统洞察。本文将详细介绍这两种级别的进程监控及其相关知识点。 首先,让我们理解一下“Ring...
易语言多线程监控进程
07-21
在本主题中,我们聚焦于"易语言多线程监控进程"这个技术点,将深入探讨如何使用易语言实现多线程来监控系统中的进程获取其状态,以及如何处理相关的操作,如进入、退出和关闭线程,以及在特定事件发生时发送邮件...
APIHOOK拦截指定进程创建进程
06-06
APIHOOK拦截指定进程创建进程。@按键精灵。
python监控进程状态,记录重启时间及进程号的实例
09-19
总结来说,这个实例展示了如何使用Python监控进程状态,尤其是针对nginx服务的主进程和子进程,记录它们的重启和重载时间,保存对应的进程ID。通过这样的方式,我们可以更好地了解系统的运行状况,及时发现处理...
监控进程创建代码
编程资料大全
02-29 262
#include "stdafx.h" #include "apihook.h" #include <stdio.h> typedef BOOL (WINAPI *PFNCPW)( LPCTSTR lpApplicationName, LPTSTR lpCommandLine, LPSECURITY_ATTRIBUTES lpProcessAttributes, LPSE...
实时监控进程创建
03-30
Hook ObCreateObject 实时监控进程创建
易语言防止进程被关闭
07-15
易语言防止进程被关闭源码,防止进程被关闭,刷新进程信息,修改API首地址,还原API,安装全局钩子,修改虚拟保护,返回虚拟信息,取程序或DLL句柄,取DLL函数地址,写内存字节,api_ExitWindowsEx,创建进程快照,开始进程快照,继续进程快照,取当前进程伪句柄,释放内存空
C# 禁止结束进程,保护进程不被结束(源代码)
06-25
C#,保护进程,通过VisualStudio.NET2005平台,控制系统不能结束自身进程,控制系统不能结束指定进程,已经生成了一个动态链接库,方便调用,(C#工程源代码),具体内容访问:http://blog.youkuaiyun.com/kangkanglx/archive/2010/06/25/5692984.aspx
易语言监视新进程创建
10-08
易语言监视新进程创建监视新进程创建监视新进程创建
易语言 监视新进程创建
08-22
易语言 监视新进程创建 可以拦截放行 低CPU占用
防止进程被任务管理器关掉的办法
热门推荐
yuntianhai的专栏
08-22 1万+
1.任务管理器的“结束任务”实际上就是强制终止进程,它所使用的是一个叫做TerminateProcess()的Win32 API函数以下是此函数的定义: BOOL TerminateProcess( HANDLE hProcess; // 将被结束进程的句柄 UINT uExitCode; // 指定进程的退出码 );2.为了得到要杀掉的进程的句柄,首先要取得该进程的句柄,即采用以下函数获取进
linux 监控新建进程,技术分享 | Linux 入侵检测中的进程创建监控
weixin_32921023的博客
04-28 745
作者简介:张博,网易高级信息安全工程师。0x00 简介在入侵检测的过程中,进程创建监控是必不可少的一点,因为攻击者的绝大多数攻击行为都是以进程的方式呈现,所以及时获取到新进程创建的信息能帮助我们快速地定位攻击行为。本文将介绍一些常见的监控进程创建的方式,包括其原理、Demo、使用条件和优缺点。行文仓促,如果有哪些错误和不足,还望大家批评指正。0x01 常见方式目前来看,常见的获取进程创建的信息的方...
模拟进程创建、终止、阻塞、唤醒原语_第四章 进程管理
weixin_39878716的博客
11-21 2673
4.1 进程概念 4.1.1 进程基本概念:描述和管理程序“运行过程”--进程 A、定义:进程是程序在某个数据集合上的一次运行活动。数据集合:软/硬件环境,多个进程共存/共享的环境 B、进程的特征: 1. 动态性:进程是程序的一次执行过程,动态产生/消亡 2. 发性:进程同其它进程一起向前推进 ...
掌握钩子技术: 源码级进程创建控制实践指南
进程控制方面,钩子技术主要用于监控进程创建行为,以实现对进程管理的进一步控制。 在Windows系统中,钩子技术主要通过钩子函数实现。按照拦截的层级可以分为系统级钩子和应用程序级钩子。系统级钩子可以拦截...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值