WIN10 HOOK OpenProcess 成功后，为什么explorer依然可以结束进程

waitforjjkk 2019-09-06 05:34:36

dll成功注入explorer了，explorer结束进程也调用了MyOpenProcess,虽然MyOpenProccess返回的是NULL,可explorer依然能结束进程，为什么？

...全文

323 2 打赏收藏转发到动态举报

写回复

2 条回复

切换为时间正序

请发表友善的回复…

发表回复

zwfgdlc 2019-09-06

打赏
举报

回复

理解错了,你想防止explorer.exe被结束,不是HOOK 进程自身的OpenProcess, 而是HOOK其他想结束explorer.exe的进程的OpenProcess,比如任务管理器

Eleven 2019-09-06

打赏
举报

回复

explorer结束进程？确定不是通过任务管理器结束进程？

Hook是Windows中提供的一种用以替换DOS下“中断“的系统机制，中文译为“挂钩”或“钩子”。在对特定的系统事件进行Hook后，一旦发生已Hook事件，对该事件进行Hook的程序就会收到系统的通知，这时程序就能在第一时间对该事件做出响应。钩子实际上是一个处理消息的程序段，通过系统调用，把它挂入系统。每当特定的消息发出，在没有到达目的程序前，钩子程序就先捕获该消息，亦即钩子函数先得到控制权。这时钩子函数即可以加工处理（改变）该消息，也可以不作处理而继续传递该消息，还可以强制结束消息的传递。..

最近想写一个杀毒软件，可是别人在任务管理器里轻轻松松就把我的进程结束了，我希望把我的杀毒软件做成360那样，一旦结束就提示“拒绝访问”，而且不管你用任务管理器，还是taskkill，进程都无法结束。于是，我在网上搜集了大量的资料，很多资料都说要写驱动，可我是一名小白，根本不会写驱动，正准备去学的时候，突然发现写驱动需要数字签名，还要花250美金，也就是1750人民币左右！我可不想花这么多钱。我一开始误以为写驱动是为了在Ring0运行，从而让进程杀不掉，但是杀毒软件这个进程其实还是在Ring3运行的，所以不是

资源管理器通过NtQuerySystemInformation获取进程信息，通过TerminateProcess以及EndTask等函数终止进程，我们可以通过挂钩途径中的多个R3函数实现在资源管理器中保护进程。可以看出该接口返回的结构体包含链表结构，我们可以通过断链方法隐藏进程，或者通过记录查找到的进程信息，在联合挂钩NtOpenProcess等函数来保护进程。其他部分不在详细叙述，给出完整代码，需要注意的是，该挂钩只适用于Taskmgr不适用于procexp等程序。

自从改行玩硬件后，就很少关注病毒和反病毒之间的斗争了。某天在中关村论坛听到一名网友说 360在WIN64 上有了进程自我保护，万分牛逼，连微软的Process Explorer都不能结束呢！我听后心里十分好奇，于是重操旧业，下载了最新版本的360 安全卫士7.7版本（2011-5-6），安装在64位 Windows 7虚拟机上来测试。首先拿“任务管理器”...

32位系统直接传统Hook就Ok了，但是64位系统就不行了，需要改动一下汇编代码64位系统Hook需求1.目标进程64位2.注入程序64位3.dll64位以上条件必须都满足方可Hook64程序--------------------------------------------------------------------------------------------------------...

进程/线程/DLL

15,467

社区成员

49,171

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章