32位/64位WINDOWS驱动之保护特定名字进程【蓝屏修复】

于 2023-06-25 23:27:59 发布
阅读量223 收藏
点赞数
分类专栏: 驱动开发 文章标签: 服务器 linux java 驱动开发 windows c++ mfc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a756598009/article/details/131387866
版权

32位/64位WINDOWS驱动之保护特定名字进程【蓝屏修复】

1.驱动层 进程保护.c

在const char*PsGetProcessImageFileName(PEPROCESS arg1);
下添加:

//功能:进程ID,进程名称
const char* GetProcessName(HANDLE ProcessId)
{
	NTSTATUS st = STATUS_UNSUCCESSFUL;
	PEPROCESS ProcessObj = NULL;
	const char* imagename = NULL;
	st = PsLookupProcessByProcessId(ProcessId,&ProcessObj);
	if (NT_SUCCESS(st))
	{
		imagename = PsGetProcessImageFileName(ProcessObj);
		ObfDereferenceObject(ProcessObj);
	}
	return imagename;
}

const char* GetProcessName(HANDLE dwPid) 重命名了改为
const char* GetProcessName2(HANDLE dwPid)

在这里插入图片描述

2.进程保护.H头文件里面声明一下;

代码如下(示例):

const char* GetProcessName(HANDLE ProcessId);//功能:进程ID,进程名称

在这里插入图片描述
windbg里面没有自动换行,要在调试信息里面进行加上换行代码\n

这段代码取消注释

const char*目标进程名 = GetProcessName(dwProcessId);//要保护是这个进程名

windbg里面虚拟机串行调试信息太频繁导致太卡,调整调试信息不频繁

注释掉

//KdPrint(("yjx:sys pEPROCESS=%p dwProcessId=%d\n", OperationInformation->Object, dwProcessId));//KdPrint(("yjx:old权限=%x 新权限 = %X 被保护的进程PID=%d\n", old权限, new1, dwProcessId));

取消这个注释

KdPrint(("yjx:SYS 进程名=%s, pid=%d 目标进程名=%s 目标PID =%d \n", 进程名, curPID, 目标进程名, dwProcessId));

在这里插入图片描述

虚拟机调试结果如下:

在这里插入图片描述

a756598009
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
简单实现守护进程windows
weixin_45616480的博客
03-28 1161
【代码】简单实现守护进程windows
windows开机蓝屏错误修复工具.zip
01-10
【标签】"蓝屏修复"是该工具的核心功能,涉及到的知识点包括: 1. **蓝屏错误代码分析**:Windows蓝屏时会显示一个错误代码,这通常是诊断问题的关键。修复工具能识别并解析这些代码,帮助用户理解问题所在。 2. **...
32位/64位WINDOWS驱动保护特定名字进程
a756598009的博客
06-23 287
驱动进程间的切换保护特定进程时 条件选择 名字 PIDPsGetProcessImageFileName //11个有效的字符PsGetCurrentProcessId() //获取当前进程PID。
32位/64位WINDOWS驱动进程保护
a756598009的博客
06-19 1547
加载驱动代码里面加入破解驱动签名限制代码在创建驱动设备后面,在调用一下安装内存保护();//函数在到驱动卸载里面调用一下卸载内存保护();//函数开发环境设置方式是:右击项目,选择属性;选中配置属性中的链接器,点击命令行;在其它选项中输入: /INTEGRITYCHECK 表示设置;/INTEGRITYCHECK:NO 表示不设置。对于使用sources文件编译的方式,增加LINKER_FLAGS=/INTEGRITYCHECK。
32位/64位WINDOWS驱动保护指定进程PID(拒绝CE,X64dug,OD等工具读写)
最新发布
a756598009的博客
06-24 799
给编辑框添加变量 类别 值 变量类型 改成UINT32 名称m_PID 完成。把RegistrationContext;在进入派遣函数中增加两个控制开关。进程保护.c里面 注释目标进程名。剪切到判断受保护下面 并修改为。搜索不到数值,打开内存也没有数据。x64dubug附加进程直接结束。来到添加保护进程按钮控制事件。来到移除保护进程按钮控制事件。读写控制后面添加两个函数。进程名标签改为进程PID。
Windows编程之双进程守护
Birldlee的博客
12-26 5417
Windows编程之双进程守护Windows编程之双进程守护 需求分析 设计原理 相关函数 设计详细 方法1 方法2 项目测试情况 方法1 方法2 总结 需求分析设计实现双进程守护程序,当两个进程同时运行时,关闭其中任意一个,另一个进程会识别出来并马上打开被关闭的进程。设计原理相关函数CreateEvent( ) CreateEvent是一个Windows API函数。它用来创建或打开一个命名的或
蓝屏6B修复补丁
01-18
对于32位64位Windows 7系统,此补丁都提供了支持,这意味着无论是x86还是x64架构的计算机都可以使用。 在使用补丁之前,建议用户先备份重要数据,以防万一。同时,确保系统防火墙或安全软件允许该补丁的安装,...
Windbg 调试工具32位64位版本
12-13
Windbg支持32位64位系统,这使得它在处理不同架构的问题时具有很高的灵活性。 在提供的压缩包中,有两个文件: 1. **Windbgx86_v6.12.2.633.1395371577.msi**:这是32位版本的Windbg安装程序,版本号为6.12.2....
windbg x64官方安装包
01-16
Windbg x64官方安装包是一款专为64位CPU设计的强大调试工具,由微软公司提供,用于诊断和分析Windows操作系统以及应用程序的问题。这款工具在软件开发、系统调试和故障排查领域具有广泛的用途,尤其对那些需要深入...
WINDOWS 蓝屏代码
07-22
### Windows蓝屏代码详解 #### 1. 10x0000000A: IRQL_NOT_LESS_OR_EQUAL - **含义**: 当系统尝试访问一个对象时,中断请求级别(IRQL)过高,导致无法安全访问该对象。 - **常见原因**: 驱动程序在不适当的时间或...
进程保护软件ProcessGuard
11-07
Process Guard   作为一个来自澳大利亚的软件,它有强大的防卫功能。   未注册版本可以管制程序,任何一个程序的启动都必须经用户同意方可施行,   一些在后台偷偷运行的病毒程序,都会被PG拦截并询问用户。   除此之外还可以设定程序的权力,比如 保护程序免被/授权程序可以 终止、修改、读取其他进程。   注册版本有更强大的功能,主要有:   一、保护物理内存;  二、拦截全局钩子;  三、拦截 Rootkit/驱动/服务 安装;  四、拦截注册表DLL注入。   官方网站:   http://www.diamondcs.com.au/processguard/   DiamondCS ProcessGuard是一款系统安全程序,它能够保护Windows进程免受其它进程,服务,驱动程序,以及系统上的其它形式的可执行代码的攻击。ProcessGuard还能够停止未被用户许可的程序运行,停止在后台静静运行的恶意蠕虫和trojans,也包括许多其它攻击,ProcessGuard甚至可以停止击键记录程序和leaktest。
win7 x64 进程保护
05-10
win7 64位系统下驱动保护进程不被读写与关闭的三种实例。
易语言64位驱动保护教程
12-23
易语言64位驱动保护教程,非常不错的教程资料,来自独立团论坛的
Window进程守护(exe)
12-05
window下检测一个进程是否关闭,如果关闭了,那么将会重新启动这个exe
windows 进程守护软件
10-30
进程守护软件,简易操作,程序断开后5秒内自动启动。方便快捷
windows 下 写守护进程
为了理想而奋斗
05-17 780
 延时40秒我就知道: ping -n 40 127.0.0.1>nul
win10下驱动进程保护
热门推荐
Anansi的博客
01-31 1万+
网上可以查到很多WIN7下的驱动后台进程保护代码,而那些代码在WIN10下并不适用,故写此篇来文章来总结我在编写WIN10下后台进程保护驱动程序的过程与经验 说起进程关闭,通常会用三种方法: 1.利用进程管理器关闭 2.打开CMD,调用taskkill指令关闭 3.调用taskkill加上-t参数,进行强行进程关闭 ...
Windows蓝屏代码解析与故障排除指南
此错误表明Windows内核检测到非法或未知的进程指令,可能涉及驱动程序问题。解决方法如下: 1. 查看蓝屏信息中的程序名,尤其是驱动程序,然后在安全模式下卸载并重新安装正确的驱动。 2. 重新安装操作系统也是解决...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

a756598009

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值