保护电脑系统时间不被修改

最新推荐文章于 2021-06-28 23:58:49 发布
最新推荐文章于 2021-06-28 23:58:49 发布
阅读量2.5k 收藏 3
点赞数
分类专栏: Windows 文章标签: attributes winapi linker service manager hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/longhaoyou/article/details/7631330
版权

下载源代码

本文通过WH_SHELL钩子配合HookAPI远程线程,以windows service形式来保证系统时间不被修改。

其中

关于service程序编写参考了http://www.vckbase.com/

HookApi、远程线程技术来源于网络。


本文HOOK如下函数:

OpenProcess(保护进程不被结束)

SetLocalTime(禁止修改时间)

 CreateProcessW(CreateProcessA底层调用CreateProcessW,拦截SHELL创建的所有进程)

CreateProcessInternalW(拦截cmd创建的所有进程)


对于GUI进程,WH_SHELL钩子会自动将HookAPI模块注入该进程。

对于SHELL和cmd创建的CUI进程,我们需要自己注入HookAPII模块(本文通过创建远程线程)。


为了保证Hook有效,程序主体为service程序(system创建,在explorer.exe运行之前)。

程序分为两个部分,主体service程序、Hook模块。

好了,见代码了。

以下为service程序主要代码

// timeprotects.cpp : Defines the entry point for the console application.
//

#include "stdafx.h"
#include <stdio.h>
#include "service.h"

#pragma warning(disable:4101)

#pragma comment(lib,"timeprotect")


int main(int argc,char* argv[])
{
	static const char *szServiceName="TimeProtect";
	
	if(argc==2)
	{
		if(!lstrcmpiA("install",argv[1]))
		{
			char szPath[MAX_PATH]="";
			GetModuleFileNameA(NULL,szPath,MAX_PATH);
			
			if(!ServiceManger::InstallService(szServiceName,szPath))//安装并以自动启动方式启动服务
				MessageBox(NULL,"服务启动失败","提示",MB_OK);
		}
		else if(!lstrcmpiA("uninstall",argv[1]))
		{
            ServiceManger::UninstallService(szServiceName);//停止并删除服务
		}
	}
	else
	{
		if(!ServiceManger::CheckServiceIsRunning(szServiceName))
		{
			ServiceManger::Services service;
			service.RunService(szServiceName);
		}
	}
	
	return 0;
}
//---------------------------------------------------------------------------

以下HookAPI模块主要代码,HookAPI方法:替换目标函数前5个字节、修改第一个字节为0xe9(jmp)跳转自定义处理函数处理。 

// timeprotect.cpp : Defines the entry point for the DLL application.
//

#include "stdafx.h"
#include "timeprotect.h"

#pragma comment(linker,"/EXPORT:_RemoveApplicationMonitor,@1,NONAME")
#pragma comment(linker,"/EXPORT:_AddApplicatinMonitor,@2,NONAME")

#pragma data_seg (".shared")  
HHOOK g_hShellHook=NULL;
DWORD g_dwProcessId=0;
char  g_szModule[MAX_PATH]="";
#pragma data_seg ()  

#pragma comment(linker, "/SECTION:.shared,RWS") 


HINSTANCE g_hIns=NULL;

const int HOOKAPICOUNT=4;

CHOOKAPI HookItem[HOOKAPICOUNT];


HANDLE WINAPI MyOpenProcess(DWORD dwDesiredAccess,BOOL bInheritHandle,DWORD dwProcessId)
{
	CHookapiManager manager(&HookItem[0]);
	lpfn_OpenProcess fOpenProcess=(lpfn_OpenProcess)manager.get()->GetOldFunEntry();
	HANDLE hRet=NULL;
	if(dwProcessId!=g_dwProcessId)
	hRet=fOpenProcess(dwDesiredAccess,bInheritHandle,dwProcessId);
	return hRet;
}
BOOL WINAPI MySetLocalTime(IN CONST SYSTEMTIME *lpSystemTime)
{
    return FALSE;
}

BOOL WINAPI MyCreateProcessW(IN LPCWSTR lpApplicationName,
							 IN LPWSTR lpCommandLine,
							 IN LPSECURITY_ATTRIBUTES lpProcessAttributes,
							 IN LPSECURITY_ATTRIBUTES lpThreadAttributes,
							 IN BOOL bInheritHandles,
							 IN DWORD dwCreationFlags,
							 IN LPVOID lpEnvironment,
							 IN LPCWSTR lpCurrentDirectory,
							 IN LPSTARTUPINFOW lpStartupInfo,
							 OUT LPPROCESS_INFORMATION lpProcessInformation
							 )
{
    CHookapiManager manager(&HookItem[2]);
	
    lpfn_CreateProcessW fCreateProcessW=(lpfn_CreateProcessW)manager.get()->GetOldFunEntry();
    BOOL bRet=fCreateProcessW(lpApplicationName,
		lpCommandLine,
		lpProcessAttributes,
		lpThreadAttributes,
		bInheritHandles,
		dwCreationFlags,
		lpEnvironment,
		lpCurrentDirectory,
		lpStartupInfo,
		lpProcessInformation);
	if(bRet)
	{
		InjectModuleToProcessById(lpProcessInformation->dwProcessId,g_szModule);
    }
	return bRet;
}
BOOL WINAPI MyCreateProcessInternalW(HANDLE hToken,
                                     LPCWSTR lpApplicationName,
                                     LPWSTR lpCommandLine,
                                     LPSECURITY_ATTRIBUTES lpProcessAttributes,
                                     LPSECURITY_ATTRIBUTES lpThreadAttributes,
                                     BOOL bInheritHandles,
                                     DWORD dwCreationFlags,
                                     LPVOID lpEnvironment,
                                     LPCWSTR lpCurrentDirectory,
                                     LPSTARTUPINFOW lpStartupInfo,
                                     LPPROCESS_INFORMATION lpProcessInformation,
                                     PHANDLE hNewToken)
{
    CHookapiManager manager(&HookItem[3]);
	
	lpfn_CreateProcessInternalW fCreateProcessInternalW=(lpfn_CreateProcessInternalW)manager.get()->GetOldFunEntry();
    BOOL bRet=fCreateProcessInternalW(  hToken,
		lpApplicationName,
		lpCommandLine,
		lpProcessAttributes,
		lpThreadAttributes,
		bInheritHandles,
		dwCreationFlags,
		lpEnvironment,
		lpCurrentDirectory,
		lpStartupInfo,
		lpProcessInformation,
		hNewToken
		);
	
	if(bRet)
	{
		InjectModuleToProcessById(lpProcessInformation->dwProcessId,g_szModule);
	} 
	return bRet;
} 


void Start()
{
    HookItem[0].Hook("kernel32.dll","OpenProcess",(FARPROC)MyOpenProcess);
    HookItem[1].Hook("kernel32.dll","SetLocalTime",(FARPROC)MySetLocalTime);
	HookItem[2].Hook("kernel32.dll","CreateProcessW",(FARPROC)MyCreateProcessW);
	HookItem[3].Hook("kernel32.dll","CreateProcessInternalW",(FARPROC)MyCreateProcessInternalW);
}
void End()
{
    HookItem[0].UnHook();
    HookItem[1].UnHook();
	HookItem[2].UnHook();
	HookItem[3].UnHook();
}
LRESULT CALLBACK ShellProc(
						   int nCode,      // hook code
						   WPARAM wParam,  // event-specific information
						   LPARAM lParam   // event-specific information
						   )
{
	return CallNextHookEx(g_hShellHook,nCode,wParam,lParam);
}
extern "C"
{
	void RemoveApplicationMonitor()
	{
		if(UnhookWindowsHookEx(g_hShellHook))
			g_hShellHook=NULL;
	}
	bool AddApplicatinMonitor()
	{
		g_dwProcessId=GetCurrentProcessId();
		
		GetModuleFileName(g_hIns,g_szModule,MAX_PATH);
		
		if(g_hShellHook)
		{
			RemoveApplicationMonitor();
		}
		g_hShellHook = SetWindowsHookEx(WH_SHELL,ShellProc,g_hIns,0);
		return g_hShellHook!=NULL;
	}
}
BOOL APIENTRY DllMain( HANDLE hModule, 
					  DWORD  ul_reason_for_call, 
					  LPVOID lpReserved
					  )
{
	g_hIns=(HINSTANCE)hModule;
	switch(ul_reason_for_call)
	{
	case DLL_PROCESS_ATTACH:
		Start();
		break;
	case DLL_PROCESS_DETACH:
		End();
		break;
	}
    return TRUE;
}






__lhy
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
限制每天使用计算机时间,限制计算机使用时间
weixin_42295859的博客
06-15 1127
首先,什么是“net user”命令Net user是一个命令作用:- 增加新用户帐户- 修改用户帐户- 显示用户帐户信息具体语法:添加新的用户类型net user “accountname” /ADD *(别直接引用),这个*是提供你帐号的密码。运用一个独立的,不含参数,就可以获得你电脑中所有用户的清单,删除用户,运用语法delete parameter;net user text/delete...
时间保护
03-03
时间保护器,防止外人更改电脑系统日期和时间
保护电脑系统时间不被修改(源码)
06-05
保护电脑系统时间不被修改源码说明请参看: http://blog.csdn.net/qq752923276/article/details/7631330
时间系统6.63版本(定时开机关机)
12-24
时间系统软件 6.63 版本新增加功能: 1、修改了定时开机中的自动运行程序、播放音乐、打开网页等功能。 2、计划任务中密码设置增加了无开机密码时,直接输入“确认码”按确认后即可生效功能。 2、计划任务中增加了关机功能(该关机功能不同于智能关机,不能自动保存数据)。 3、计划任务中增加了重启功能(该关机功能不同于智能关机,不能自动保存数据)。 4、定时开机项中增加了智能关机后是否直接进入桌面(直接开机)设置。 5、定时开机项中增加了直接开机后自动操作键盘鼠标及鼠标动作功能,该功能可以实现计算机的完全自动化,做到真正意义上的无人操作。 6、在智能关机项中增加了空闲时间自动关机功能(该功能能够全面保护您的数据自动关闭电脑)。 7、应广大普通用户要求,将原来普通用户(免费用户)的每次运行时间、定时开机、定时关机设置等,由原来的10分钟增加到60分钟(运行次数无限制)。
一个比较龌龊的防止修改系统时间的方法。
a98444384的博客
05-25 417
上个关机小程序里防止修改系统时间没有实现这个功能。现在发现了一个个人认为比较龌龊的方法,有兴趣的朋友试试看吧。    把下面这段代码放到. Time里面就可以了.    HWND HWndCalculator; HWndCalculator = FindWindow(NULL, "日期和时间 属性"); if (HWndCalculato...
修改系统时间C++源码
04-06
修改系统时间程序C++源码,MFC程序.
电脑时间校准源码
09-15
可以取网络时间,与本机时间对比,一键校准
你的电脑系统时间被莫名奇妙的更改了吗
weixin_33853794的博客
10-11 499
最近本人的本本在启动时老是提示电脑时间被更改..........等等,后来发现其影响已经扩展盗KVA不能使用,同时也发现有朋友的电脑也出现类似情况,于是觉得看个究竟 开始以为是橙色八月或其最新变异病毒,后来证明它们有着本质的区别: 病毒特征 这个病毒具有“帕虫”或称“AV终结者”的某些特征,试图终止正在运行的杀毒软件进程,映像劫持大多数的杀毒软件、防火墙及手工杀毒的安全工具,...
如何保证程序运行时系统时间不被修改
冬天的蚊子
03-02 2142
当任何程序或用户修改系统时间的时候,系统会将 WM_TIMECHANGE      消息到所有的进程,我们的程序可以捕获到该消息,然后将系统时间恢复到修改前的状态,这样就可以在我们的程序运行时系统时间的正确性,代码如下:窗体form1(需要一个timer控件,interval=1000):Private Sub Form_Load()Timer1_TimerRegisterWindow
如何禁止计算机用户修改时间,win10禁止用户修改系统时间的方法
weixin_42176827的博客
06-28 2566
在我们日常使用win10系统电脑时,应该有很多玩家遇到过需要禁止用户修改系统时间的情况,那么win10怎么禁止用户修改系统时间呢?下面小编就为大家带来win10禁止用户修改系统时间的方法,感兴趣的小伙伴快来看看吧。win10禁止用户修改系统时间的方法1:在Windows10系统桌面,右键点击左下角的开始按钮,在弹出菜单中选择“运行”菜单项。2:这时会打开Windows10的运行窗口,在窗口中我们输...
[转]修改系统时间
中国资深步行专家 CSDNBLog
09-27 731
1.基础知识 Linux/Unix有两个系统时间 1)硬件时间,也即cmos时间 2)操作系统时间,即Linux/Unix系统时间 每次开机,os时间与硬件时间同步一次,即os从cmos取得系统时间 2.命令行 1)修改硬件时间,hwclock 2)修改系统时间,date 3.例子 比如,哦的机器时间老慢 所以
hook TrayClockWClass 系统时钟
01-10
这个是我在网上找到的一份关于修改系统时钟的源码,功能类似于驱动人生公司出版的人生日历,代码非常有参考价值,至少照着他的源码hook系统时钟窗口的消息,以及修改绘制,截取按键消息,主要参考代码在source/dll/目录下
禁止修改系统时间程序
10-22
该开发包用于软件开发人员使用该组件保护保护系统时间不被其他软件修改.
花了非常多时间才找到的功能强大的电脑使用时间管理软件 易通电脑锁V6 定时系统控制 多任务管理功能等等
05-09
易通电脑锁2007 简介 易通电脑锁软件集电脑使用时间管理、多任务管理操作、定时系统控制操作、一键控制操作、系统保护与修复、日志记录与查询等一系列普通而实用的功能,是您电脑安全和使用管理的理想选择。...
xp系统的一些你不知道的使用
08-25
3014-临时设定为〔电脑系统管理员〕 3015-在使用执行档案时省却键入档案的伸延名称 3016-把 Administrator 加回在登入选单内 3017-自动整批更改档案名称 3018- 更改档案总管 Thumbnail 的大小 3019-随时可使用...
编写、引用资源DLL步骤
热门推荐
天道酬勤
04-26 2万+
创建纯资源 DLL 时要求 /NOENTRY 选项。(VS链接选项中设置无入口) 使用该选项防止 LINK 将 _main 的引用链接到 DLL 中。 VC版: 1、向导生成一个DLL名为456   2、新建xx.h  内容:      #define PNG1
pe文件解析:读取pe信息获取文件资源
天道酬勤
03-01 1万+
查看过关于pe文件分析的文章: (1)http://www.vckbase.com/document/viewdoc/?id=1334 (2)http://www.vckbase.com/document/viewdoc/?id=1335 (3)http://www.cppblog.com/aurain/archive/2009/06/29/88771.html (4)http
C# 编写Windows服务并设置为“允许服务与桌面交互”
天道酬勤
07-10 7052
本文信息来源于网络,本人只是汇总。VS创建项目,项目类型选择Window服务为服务创建安装程序1.. 返回到 Service1 的“设计”视图。 2.. 单击设计器的背景以选择服务本身,而不是它的任何内容。 3.. 在“属性”窗口中,单击属性列表下面灰色区域中的“添加安装程序”链接。 默认情况下,向您的项目添加包含两个安装程序的组件类。将该组件命名为 ProjectInstall
程序退出报错 Access Violation at 0x7c93b1fa 之类问题的解决办法
天道酬勤
11-04 5777
Access violation at xxxx,顾名思义,程序在执行过程中不恰当的访问了内存中某个位置,导致出现如上提示,一般可能造成此原因的有很多,例如dll版本问题,是否中毒等,但对于我们开发人员的来讲,你的程序在某个时刻出现了Access violation,则基本表明你代码某个地方编写的出了问题,常见的是访问了已释放的指针、资源,对于一般的项目来说,通篇查找问题所在不现实,现在在这里提供
电脑购物商城系统论文的系统非功能需求,不少于600字
最新发布
03-04
- 数据安全性:系统需要具备较高的数据安全性,能够保护用户的个人信息和交易数据不被非法获取或篡改。 3. 安全性要求:系统需要具备较高的安全性,能够保护用户的个人信息和交易数据不被非法获取或篡改。具体而言...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值