katia2004 发表于 2018-3-3 11:55:40

Win7 x64禁止终止进程保护驱动代码


最近在做Win7 32和64下进程保护的东西,不想用Hook了,更何况64位驱动也不能hook了,就在找怎样在64位下实现,看了tianhz大牛的帖子收获很大,他基本上也给出了实现的关键代码。就是用ObRegisterCallbacks实现,简单、易用。

只是网上关于这个实现的代码太少了,最多的就是介绍原理和object hook。

现在将可编译的驱动源码贴出来,方便大家使用。

我这个代码里使用比较进程名的方式来比较是否是需要保护的进程。

用的还是常用的搜索system进程中EPROCESS结构中System字段来找本系统的EPROCESS中进程名的偏移的方法。

这种方法有个缺点就是进程名只支持16个字符,长了就显示不出来了。

有哪位大大还有其他获取完整进程名的方法可以给小弟提提意见。

用WDK7600.16385.1中win7 x86和win 7 x64编译就可以了,用xp编译不通过的,因为这个回调函数在xp下没有,vista以后才支持的。

win7 32 和64测试可以达到保护的效果。

**** Hidden Message *****

pjzmj2012 发表于 2018-6-19 17:45:08

RE: Win7 x64禁止终止进程保护驱动代码 [修改

jackdragon 发表于 2018-6-20 00:32:27

一直在学习中,谢谢分享

jackdragon 发表于 2018-6-20 00:36:54

怎么用啊?

a513689546 发表于 2018-6-26 10:43:36

过来看看!!!学习当中

yunli 发表于 2018-7-6 08:09:19

srsdggtdtRTDYTDTDZ服用父爱。

a991281740 发表于 2018-7-24 13:41:59

啊啊啊啊啊啊啊

absccdos 发表于 2018-8-17 00:00:14

禁止终止进程保护驱动代码

dai8623995 发表于 2018-11-14 18:04:26

支持楼主,支持看流星社区,以后我会经常来!

vheimeigui 发表于 2018-11-19 10:10:26

页: [1] 2 3
查看完整版本: Win7 x64禁止终止进程保护驱动代码