社区
Windows SDK/API
帖子详情
进程守护问题,类似卡巴或者瑞星,来者有分
dnahonker
2008-07-10 11:15:02
如何保护一个进程?要类似卡巴或者瑞星的,当结束他们时会弹出拒绝访问对话框,请问这是如何做到的
其他的进程守护如:两个程序相互监视、隐藏进程、HOOK openprocess等等都知道了,现在只想知道如何能实现类似卡巴及瑞星那样的进程保护。有人说提权,不知道该怎么弄。希望朋友们能帮帮忙。
...全文
258
22
打赏
收藏
进程守护问题,类似卡巴或者瑞星,来者有分
如何保护一个进程?要类似卡巴或者瑞星的,当结束他们时会弹出拒绝访问对话框,请问这是如何做到的 其他的进程守护如:两个程序相互监视、隐藏进程、HOOK openprocess等等都知道了,现在只想知道如何能实现类似卡巴及瑞星那样的进程保护。有人说提权,不知道该怎么弄。希望朋友们能帮帮忙。
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
22 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
lxtnt
2008-08-05
打赏
举报
回复
"两个程序相互监视、隐藏进程、HOOK openprocess HOOK NtTerminateProcess"
都是不可靠的进程保护,只有在内核级的保护才是安全的!
用DDK开发*.SYS,用*.SYS保护进程才是有效的,否则全是无聊......
qkhhxkj102
2008-07-30
打赏
举报
回复
学习
gyk120
2008-07-25
打赏
举报
回复
钩子也分很多种的,内联函数,DLL注入,内核钩子,钩SSDT,钩IDT或者IRP的
总之一堆乱七八糟的
gyk120
2008-07-25
打赏
举报
回复
DLL注入已经是比较原始的方法了
现在可行的就是一个钩子
okmnji79513
2008-07-25
打赏
举报
回复
mark
cenjoyer
2008-07-25
打赏
举报
回复
你的钩子是什么,不是放在DLL ,然后让explorer去调用那种钩子吗?
cenjoyer
2008-07-24
打赏
举报
回复
[Quote=引用 14 楼 xjjrocker 的回复:]
两个线程,彼此守护即可。任何一个线程被强制结束,则自动由另一个线程来创建被结束的线程。
[/Quote]
线程?说错了吧,你想说进程吧。。。
这个可以说是最简单的了,没用的。
结束进程树可以干掉。
360可以同时结束多个进程。
我用DLL注入都不太好了,被杀毒软件判为“风险软件”。
刚下载了本rootkit的专题,再研究研究吧。。。
过去的我
2008-07-16
打赏
举报
回复
进程保护这个话题没底的啊..取决于你想达到的效果和你的水平.
xjjrocker
2008-07-16
打赏
举报
回复
两个线程,彼此守护即可。任何一个线程被强制结束,则自动由另一个线程来创建被结束的线程。
gyk120
2008-07-15
打赏
举报
回复
???
我以前看过一篇关于ring3下对抗瑞星2008的文章,那个提到了瑞星是采用HOOK NtTerminateProcess的
7月的黑防有一篇文章《再谈内核和进程保护》,你可以去看看那篇文章
dnahonker
2008-07-14
打赏
举报
回复
[Quote=引用 9 楼 gyk120 的回复:]
(别说我做广告……)
这类问题还是到看雪去问吧……这里菜鸟居多
比较传统的是SSDT HOOK或者Inline Hook勾住TerminateProcess,或者是你说的那种方法,NtOpenProcess配合PsGetCurrentProcessId这个API
但是杀毒软件也有不同,卡吧似乎运用了驱动而并非提权,首先进入Ring0,然后就是调用驱动什么的(别和我谈驱动……我几乎不懂……)
瑞星就是直接HOOK NtTerminateProcess这个函数以达到目的
还有其他的就…
[/Quote]
瑞星是HOOK NtTerminateProcess吗?好象我HOOK TerminateProcess没有什么效果!
Rex_love_Burger
2008-07-13
打赏
举报
回复
mark
gyk120
2008-07-12
打赏
举报
回复
还有就是360,360本身没有什么保护机制,但是那个保险箱确实很厉害,估计和瑞星一样HOOK了 NtTerminateProcess
gyk120
2008-07-12
打赏
举报
回复
(别说我做广告……)
这类问题还是到看雪去问吧……这里菜鸟居多
比较传统的是SSDT HOOK或者Inline Hook勾住TerminateProcess,或者是你说的那种方法,NtOpenProcess配合PsGetCurrentProcessId这个API
但是杀毒软件也有不同,卡吧似乎运用了驱动而并非提权,首先进入Ring0,然后就是调用驱动什么的(别和我谈驱动……我几乎不懂……)
瑞星就是直接HOOK NtTerminateProcess这个函数以达到目的
还有其他的就没怎么测试了……
dnahonker
2008-07-12
打赏
举报
回复
[Quote=引用 5 楼 gyk120 的回复:]
不过你也应该知道吧
既然知道了如何HOOK openprocess,HOOK TerminateProcess也不是什么大问题了吧
[/Quote]
我没有真正的去实验过HOOK TerminateProcess,因为在网上查资料说进程要想不被关闭,应该是HOOK openprocess而不是HOOK TerminateProcess,并且我HOOK openprocess也确实做到了,但问题是不会出现像瑞星或卡巴那样的拒绝访问,所以我觉得他们因该不是这种方法
还有楼上的朋友,注册为服务只是随windows启动而启动,并不能保证进程被结束掉。
而两个进程相互监视是一个很好的办法,可是会占更多的资源,并且现在只需要做到瑞星或卡巴这样的效果,这个效果肯定是要掌握的,我觉得这个功能很不错!
期待解决方法。
gyk120
2008-07-11
打赏
举报
回复
互相监视嘛,
再说一旦HOOK API成功,你怎么去关?
除了APC之类的东西,其他的关不掉
现在杀毒软件防止自身被关闭都用的这种方法
shuihan20e
2008-07-11
打赏
举报
回复
[Quote=引用 4 楼 gyk120 的回复:]
……
那么复杂的东西
那估计要涉及到API HOOK以及Ring0的知识
简单点说,就是把关闭自身的API例如Terminate Process拦截,所以无法关闭,然后拦截WM-CLOSE消息,使得结束任务也不可能,不过后一种方法可以通过注册服务或者注入进行隐藏
[/Quote]
注册服务不能保证不会被关闭啊,只不过是随WINDOWS启动罢 了,两个进程互相监视,两个都关了,那岂不是也是白搭?
gyk120
2008-07-10
打赏
举报
回复
不过你也应该知道吧
既然知道了如何HOOK openprocess,HOOK TerminateProcess也不是什么大问题了吧
gyk120
2008-07-10
打赏
举报
回复
……
那么复杂的东西
那估计要涉及到API HOOK以及Ring0的知识
简单点说,就是把关闭自身的API例如Terminate Process拦截,所以无法关闭,然后拦截WM-CLOSE消息,使得结束任务也不可能,不过后一种方法可以通过注册服务或者注入进行隐藏
dnahonker
2008-07-10
打赏
举报
回复
[Quote=引用 2 楼 gyk120 的回复:]
要提权到debug权限
然后弄个进程实时监视另一个进程的存在,用Timer实现,找不到进程的话就重启进程
[/Quote]
两个程序相互监视的方法已经知道了,现在是需要类似卡巴或者瑞星的进程无法访问
加载更多回复(2)
过
卡巴
瑞星
主动防御
过
卡巴
瑞星
主动防御过
卡巴
瑞星
主动防御过
卡巴
瑞星
主动防御
改壳过NOD32
卡巴
瑞星
金山 江民
改壳过NOD32
卡巴
瑞星
金山 江民
易语言源码(多桌面切换器,发一个验证码识别详细教材包括带注释源码,关闭
进程
,杀软克星微点
瑞星
卡巴
江民金山全部搞定)
易语言源码(多桌面切换器,发一个验证码识别详细教材包括带注释源码,关闭
进程
,杀软克星微点
瑞星
卡巴
江民金山全部搞定)
2011过
瑞星
卡巴
360加花器
本程序可以加花加壳 绝对免杀过360
卡巴
瑞星
2010.6.16 最新免杀,过
瑞星
,
卡巴
,金山,360,江民!
2010.6.16 最新免杀,过
瑞星
,
卡巴
,金山,360,江民!
Windows SDK/API
1,183
社区成员
22,335
社区内容
发帖
与我相关
我的任务
Windows SDK/API
Delphi Windows SDK/API
复制链接
扫一扫
分享
社区描述
Delphi Windows SDK/API
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章