Win7 x64禁止终止进程保护驱动代码

katia2004 · 发表于 2018-3-3 11:55:40

最近在做Win7 32和64下进程保护的东西，不想用Hook了，更何况64位驱动也不能hook了，就在找怎样在64位下实现，看了tianhz大牛的帖子收获很大，他基本上也给出了实现的关键代码。就是用ObRegisterCallbacks实现，简单、易用。

只是网上关于这个实现的代码太少了，最多的就是介绍原理和object hook。

现在将可编译的驱动源码贴出来，方便大家使用。

我这个代码里使用比较进程名的方式来比较是否是需要保护的进程。

用的还是常用的搜索system进程中EPROCESS结构中System字段来找本系统的EPROCESS中进程名的偏移的方法。

这种方法有个缺点就是进程名只支持16个字符，长了就显示不出来了。

有哪位大大还有其他获取完整进程名的方法可以给小弟提提意见。

用WDK7600.16385.1中win7 x86和win 7 x64编译就可以了，用xp编译不通过的，因为这个回调函数在xp下没有，vista以后才支持的。

win7 32 和64测试可以达到保护的效果。

游客，如果您要查看本帖隐藏内容请回复

pjzmj2012 · 发表于 2018-6-19 17:45:08

RE: Win7 x64禁止终止进程保护驱动代码 [修改

jackdragon · 发表于 2018-6-20 00:32:27

一直在学习中，谢谢分享

jackdragon · 发表于 2018-6-20 00:36:54

怎么用啊？

a513689546 · 发表于 2018-6-26 10:43:36

过来看看！！！学习当中

yunli · 发表于 2018-7-6 08:09:19

srsdggtdtRTDYTDTDZ服用父爱。

a991281740 · 发表于 2018-7-24 13:41:59

啊啊啊啊啊啊啊

absccdos · 发表于 2018-8-17 00:00:14

禁止终止进程保护驱动代码

dai8623995 · 发表于 2018-11-14 18:04:26

支持楼主，支持看流星社区，以后我会经常来！

vheimeigui · 发表于 2018-11-19 10:10:26

		自动登录	找回密码
密码			注册账号