本身程序的作用是监视系统的进程创建和销毁的,由于利用ssdt挂钩ntterminateprocess函数实现了程序禁止关闭的功能,就是任物管理器无法关闭本程序。程序可用性有待提升,当时是面试的时候写的,分享出来大家共同学习一下吧,感觉挂钩部分封装的不错有需要的拿去,原理就是老黄历了,不写了,各位百度一下。
下面有源文件,vs2013直接编译通过,kernal是内核部分的代码
编译产生consolemon.exe和kernalmon.sys
内核文件需要放到特定的C:盘目录,具体可看一下源代码里的说明。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
