怎样用咖啡规则防止终止某一进程？

jone_jys

如题：怎样用咖啡防止恶意程序终止进程呢？我不知道结束进程是调用的哪个程序？比如不可随便终止 excel.exe,但可以正常关闭程序，只是不能从任务管理器结束进程，包括explore.exe

谢谢所有回复的朋友！

[ 本帖最后由 jone_jys 于 2008-7-29 19:10 编辑 ]

jone_jys

额  看来我这个帖子没人瞧得起啊！

小邪邪

目前mcafee只会防止自身进程（服务）被终止，不能防止其它进程被终止

jone_jys

谢谢小邪邪哈！我就是想用它自身的规则举一反三啊！ 可我不晓得它自身的规则是怎样实现的？

haohao110

看来macfee 还没有开放！

jiuzhege

原帖由 haohao110 于 2008-7-29 13:51 发表
看来macfee 还没有开放！

愚问， 哪些杀软“开放”了？

jone_jys

可能大家理解错了！ 我的意思是能否用咖啡的自定义规则实现防止随意终止使用中的进程？

深红的雪

咖啡的规则不能实现
终止进程属于AD部分，而咖啡的AD仅仅有一个阻止执行而已
虽然咖啡hook了NtTerminateProcess，但也只是用来保护自身进程
所以从根本上说，咖啡就没有提供阻止结束进程这个功能，无论怎样写规则也是不能实现的

结束进程可以有很多方法，往往并不需要调用什么程序，直接使用API就能结束

jone_jys

谢谢很详细的回复哈！非常谢谢！
可以结贴咯！ 再次感谢所有回复的人哈！

jone_jys

原帖由 rappar 于 2008-7-29 17:02 发表
咖啡的规则不能实现
终止进程属于AD部分，而咖啡的AD仅仅有一个阻止执行而已
虽然咖啡hook了NtTerminateProcess，但也只是用来保护自身进程
所以从根本上说，咖啡就没有提供阻止结束进程这个功能，无论怎样写规则 ...

我也曾试过定义规则：taskmgr.exe不随便去执行进程，可咖啡只显示了日志（已阻止执行） 可还是照样结束进程了