-
-
进程保护,对Win10任务管理器”进程“选项卡无效?
-
2022-4-25 15:58
5974
-
进程保护,对Win10任务管理器”进程“选项卡无效?
用ObRegisterCallbacks做的进程保护,核心代码如下。
实际效果:
1、在任务管理器"详细信息"选项卡中结束进程,可以正常拦截,可以防止进程被结束;
2、在任务管理器第一个"进程"选项卡中结束进程,可以正常结束进程,没有进入到检测代码。
请问"进程"选项卡和"详细信息"选项卡中的进程结束方式有哪里不一样吗?应该如何在"进程"选项卡中防止结束进程?
PS:运行环境Window10 x64 21H2
if (pOperationInformation->Operation == OB_OPERATION_HANDLE_CREATE)
{
int code = pOperationInformation->Parameters->CreateHandleInformation.OriginalDesiredAccess;
if ((code == PROCESS_TERMINATE_0) || (code == PROCESS_TERMINATE_1) || (code == PROCESS_KILL_F))
{
pOperationInformation->Parameters->CreateHandleInformation.DesiredAccess = 0x0;
}
if (code == PROCESS_TERMINATE_2)
{
pOperationInformation->Parameters->CreateHandleInformation.DesiredAccess = STANDARD_RIGHTS_ALL;
}
}
[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》,视频+靶场+题目!助力进入CTF世界
