HOOK ZwTerminateProcess实现进程保护

最新推荐文章于 2021-07-07 14:03:47 发布
最新推荐文章于 2021-07-07 14:03:47 发布
阅读量4.2k 收藏 6
点赞数
文章标签: hook basic struct null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenhao1988/article/details/4123559
版权

近期学习了一下HOOK SSDT,通过HOOK ZwTerminateProcess来实现的编了一个小程序实现简单的禁止结束进程,主要代码如下:

NTSTATUS HookZwTerminateProcess(IN HANDLE ProcessHandle OPTIONAL,
IN NTSTATUS ExitStatus)
{
 ULONG pid = 0;
 NTSTATUS status = 0;
 NTSTATUS rc = 0;
 PEPROCESS  EProcess;
 LPTSTR lpCurProc;
 
 if(ProcessHandle != NULL)
 {
  //调用ZwQueryInformationProcess得到PID
  ULONG Rlen;
  PVOID pBuffer;
  PROCESS_BASIC_INFORMATION  *pbi;
  pBuffer = ExAllocatePoolWithTag(PagedPool, sizeof(PROCESS_BASIC_INFORMATION),0x123456);
  status = ZwQueryInformationProcess(ProcessHandle,
  ProcessBasicInformation,
  pBuffer,
  sizeof(PROCESS_BASIC_INFORMATION),
  &Rlen);
  if(!NT_SUCCESS(status))
  {
   ExFreePool(pBuffer);//释放分配的内存
   DbgPrint("ZwQueryInformationProcess() wrong!/n");
   //return -1;
   rc = (NTSTATUS)(REALZwTerminateProcess)RealZwTerminateProcess(ProcessHandle,ExitStatus);
   return rc;
  }
  pbi = (struct _PROCESS_BASIC_INFORMATION *)pBuffer;
  DbgPrint("ProcessHandle代表进程%d!",pbi->UniqueProcessId);
  pid = (ULONG)pbi->UniqueProcessId;
  ExFreePool(pBuffer);//释放分配的内存
  
  //调用PsLoopupProcessByProcessId得到进程名
  status = PsLookupProcessByProcessId(pid,&EProcess);
  if(!NT_SUCCESS(status))
         {
         DbgPrint("PsLookupProcessByProcessId() wrong/n");
         //return -1;
   rc = (NTSTATUS)(REALZwTerminateProcess)RealZwTerminateProcess(ProcessHandle,ExitStatus);
   return rc;
         }
  lpCurProc = (LPTSTR)EProcess;
         lpCurProc = lpCurProc + myoffset;//myoffset为偏移地址,指向进程的名称,最多16字节
         DbgPrint("PROCESSNAME=%s",lpCurProc);
  //做出判断,是否禁止结束进程,我以notepad.exe为例
  if(memicmp((void *)protectpname,(void *)lpCurProc,11) == 0)
  {
   return STATUS_UNSUCCESSFUL;
  }
 } 
 rc = (NTSTATUS)(REALZwTerminateProcess)RealZwTerminateProcess(ProcessHandle,ExitStatus);
 return rc;
}

 

遗留问题:

1、直接点击一个记事本文件的关闭按钮,会造成该notepad.exe进程占用很大的CPU时间,CPU使用率一直是100%。

2、仅适用于进程名少于16个字节的情况。

 

chenhao1988
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一个Hook API实现进程保护的实例
06-12
一个Hook API实现进程保护的实例,非常值得参考。
SSDT Hook实现内核级的进程保护
曾是土木人
06-29 8202
SSDT Hook效果图 加载驱动并成功Hook  NtTerminateProcess函数: 当对 指定的进程进行保护后,尝试使用“任务管理器”结束进程的时候,会弹出“拒绝访问”的窗口,说明,我们的目的已经达到: SSDT简介 SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。 这个表
SSDT HookHookZwTerminateProcess)—— 实现任务管理器无法关闭进程
walker的博客
03-06 549
本节的目的是通过驱动程序修改 ntoskrnl.exe 程序的 SSDT 表中的函数地址表,以实现 SSDT Hook 。本次的测试函数为 R3 API 函数 ZwTerminateProcess ,通过 Hook 该函数,以实现任务管理器无法强制关闭进程,只有通过进程的关闭方法才可以正常结束进程Hook 该函数的关键是判断 ZwTerminateProcess 函数中的进程句柄 hProcess 。当进程是通过自身的关闭方法关闭的话,该句柄的值应为 0xffffffff 或 0x00 ,而通过其他进
hook工具_SSDT-HOOK保护进程
weixin_39928106的博客
12-01 253
实验环境:win7虚拟机示例是对内核层进行SSDT-HOOK实现保护进程的功能一会儿会用到的API是OpenProcess,在3环也就是用户层调用此API它保存一些信息传入到0环内核层后实际调用的是ZwOpenProcess函数,所以先使用OD随意打开一个.exe可执行程序,然后在kernel32模块里面查找OpenProcess函数,经过2个jmp后进入下一层,找到一个call进入其中便是ZwO...
(API HOOK进程保护工具
07-14
运行本软件之后,选择启用保护 (本软件适用于32位系统) 功能: (进程保护) 1、在任务栏里面终止进程是无效的。 (注意:窗口的正常关闭仍然是可以的, 也可以适用命令参数 taskkill 来终止 程序的进程。) 2、防止一些外挂程序对进程的注入控制 3、防止OD,CE以及其他一些调试器对进程 的读取(不是全部噢,暂时我没发现而已) (系统保护) 1、禁止使用CMD 2、禁止使用regedit 3、禁止使用.reg文件 程序运行后点击隐藏,本软件将自动隐藏起来。 隐藏后按F12即可呼出窗口。 PS:本软件采用了API拦截的技术,所以杀毒软件 可能会误报病毒,请放心使用。 软件还在改进中。。。 作者:GhostHand 本人QQ:544980123 希望加我QQ一起交流技术
SSDTHook实现进程保护
06-29
SSDTHook实现进程保护:http://blog.csdn.net/php_fly/article/details/9202379
ssdthook技术实现防止进程关闭
04-21
使用ssdthook技术实现进程防止关闭功能,包含完整代码,代码注释齐全。
HOOK任务管理器进程保护源码
08-24
HOOK任务管理器进程保护源码,仅DLL文件,钩子加载程序自己随便写个
进程保护四个例子
04-28
性价比高,用户层和驱动层hook dll注入实现进程保护,不让关闭
驱动Hook ZwTerminateProcess(mdl方式)
qq1134993111的专栏
09-21 1764
http://www.cnblogs.com/zhujian198/archive/2010/08/16/1800760.html #include "ntddk.h" typedef struct _SERVICE_DESCRIPTOR_TABLE {     PULONG ServiceTableBase;     PULONG ServiceCounterTab
APIHOOK可以通过dll载入进程HOOK指定的函数地址
12-17
APIHOOK可以通过dll载入进程HOOK指定的函数,例如LoadLibraryA GetProcAddress 等等
进程hook 代码实现
11-16
hook c++ hook c++ hook c++ hook c++ hook c++
HOOK小工具(进程、窗口、全局)
12-14
HOOK小工具,可以用进程,窗口,全局注入,本人用进程方法注入了带NP的游戏
EasyHook远程进程注入并hook api的实现
03-15
http://blog.csdn.net/v6543210/article/details/44276155 EasyHook远程进程注入并hook api的实的示例。
[反调试&进程保护] 使用 hook 的方式保护自身进程
墨鱼菜鸡
04-16 309
以下 HOOK 需要 全局: 函数名作用Hook 后NtOpenThread创建内核线程防止调试器在内部创建线程NtOpenProcess打开进程防止OD等调试工具在调试列表中看到kiAttachProcess附加调试进...
利用HOOK API做进程保护
bruce135lee的专栏
08-03 1690
其实就很简单,只是对TerminateProcessHOOK,因为要阻止的不是本进程的,所以要用到全局钩子,也就是把他做成dll形式的! 首先,对前面的HOOK API进行封装CAPIHook:   [cpp] view plain copy /////////////////////////////////////////////////////////   // APIHook...
HOOK SSDT 实现内核级的进程保护
Windows内核学习笔记
07-07 543
SSDT Hook效果图 加载驱动并成功Hook NtTerminateProcess函数: 当对 指定的进程进行保护后,尝试使用“任务管理器”结束进程的时候,会弹出“拒绝访问”的窗口,说明,我们的目的已经达到: SSDT简介 SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。 这个表就是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起来。 SSDT 并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息
进程保护
Henzox的专栏
06-18 8227
看到这个题目,
c# hook保护进程
最新发布
08-27
c是英文字母中的第三个字母,它的发音是/si:/,我们在英语中常用它作为一个称谓或代词。当用作一个称谓时,它可以代表“先生”(Mr.)或“女士”(Ms.)。比如,在英文信件或正式场合中,我们通常会以“Dear Mr....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值