//进程自我保护,注意只有X64 WIN7可用

 #include <ntddk.h>

 #define PROCESS_TERMINATE 1

 typedef struct _LDR_DATA                                     // 24 elements, 0xE0 bytes (sizeof)

 {

     struct _LIST_ENTRY InLoadOrderLinks;                     // 2 elements, 0x10 bytes (sizeof)

     struct _LIST_ENTRY InMemoryOrderLinks;                   // 2 elements, 0x10 bytes (sizeof)

     struct _LIST_ENTRY InInitializationOrderLinks;           // 2 elements, 0x10 bytes (sizeof)

     VOID*        DllBase;

     VOID*        EntryPoint;

     ULONG32      SizeOfImage;

     UINT8        _PADDING0_[0x4];

     struct _UNICODE_STRING FullDllName;                      // 3 elements, 0x10 bytes (sizeof)

     struct _UNICODE_STRING BaseDllName;                      // 3 elements, 0x10 bytes (sizeof)

     ULONG32      Flags;

 }LDR_DATA, *PLDR_DATA;

 char* GetProcessImageFileName(PEPROCESS Process)

 {

     char *FileName;

     FileName = (char *)Process + 0x16c;

     return FileName;

 }

 BOOLEAN IsProtectedProcessName(PEPROCESS eprocess)

 {

     char *Name = GetProcessImageFileName(eprocess);

     if (!_stricmp("vb.exe", Name))

         return ;

     else

         return ;

 }

 OB_PREOP_CALLBACK_STATUS ProccessProtectCallBack(PVOID RegContext,

     POB_PRE_OPERATION_INFORMATION pOperationInformation)

 {

     if (pOperationInformation->ObjectType != *PsProcessType)

     {

         return OB_PREOP_SUCCESS;

     }

     if (IsProtectedProcessName((PEPROCESS)pOperationInformation->Object))

     {

         if (pOperationInformation->Operation == OB_OPERATION_HANDLE_CREATE)

         {

             if ((pOperationInformation->Parameters->CreateHandleInformation.OriginalDesiredAccess&

                 PROCESS_TERMINATE) == PROCESS_TERMINATE)

             {

                 pOperationInformation->Parameters->CreateHandleInformation.DesiredAccess &= ~PROCESS_TERMINATE;

             }

         }

         if (pOperationInformation->Operation == OB_OPERATION_HANDLE_DUPLICATE)

         {

             if ((pOperationInformation->Parameters->CreateHandleInformation.OriginalDesiredAccess&

                 PROCESS_TERMINATE) == PROCESS_TERMINATE)

             {

                 pOperationInformation->Parameters->CreateHandleInformation.DesiredAccess &= ~PROCESS_TERMINATE;

             }

         }

     }

     return OB_PREOP_SUCCESS;

 }

 NTSTATUS SelfProtection()

 {

     NTSTATUS obst1 = ;

     HANDLE obHandle;

     LARGE_INTEGER CallbackCookie = {  };

     OB_CALLBACK_REGISTRATION obReg;

     OB_OPERATION_REGISTRATION opReg;

     memset(&obReg, , sizeof(obReg));

     obReg.Version = ObGetFilterVersion();

     obReg.OperationRegistrationCount = ;

     obReg.RegistrationContext = NULL;

     RtlInitUnicodeString(&obReg.Altitude, L"");

     obReg.OperationRegistration = &opReg;

     memset(&opReg, , sizeof(&opReg));

     opReg.ObjectType = PsProcessType;

     opReg.Operations = OB_OPERATION_HANDLE_CREATE | OB_OPERATION_HANDLE_DUPLICATE;

     opReg.PreOperation = (POB_PRE_OPERATION_CALLBACK)&ProccessProtectCallBack;

     //保护自身进程对象不被打开

     obst1 = ObRegisterCallbacks(&obReg, &obHandle);

     return ;

 }

 NTSTATUS DriverEntry(PDRIVER_OBJECT MyDriver, PUNICODE_STRING reg_path)

 {

     PLDR_DATA ldr;

     ldr = (PLDR_DATA)MyDriver->DriverSection;

     ldr->Flags |= 0x20;

     SelfProtection();

     return ;

 }

进程自我保护 适用于WIN7 X64的更多相关文章

  1. win7 X64 进程名称不一致,导致杀进程失效!

    win7 x86, 或 win10 x64 环境下, x86的进程名称 ”aaa.exe“ 在win7 x64下面显示为  ”aaa.exe *32“

  2. [求助] win7 x64 封装 出现 Administrator.xxxxx 的问题

    [求助] win7 x64 封装 出现 Administrator.xxxxx 的问题 jacky_qu 发表于 2014-9-3 23:34:37 https://www.itsk.com/thre ...

  3. 配置新系统(Win7 x64)

    新装了一个Win7 x64系统.总结了一些系统配置需要注意的地方. 1. C盘空间 发现C盘被用去了50G的空间,在什么软件都没装的情况下,被用去这么多,感到不可思议. 打开控制面板->文件夹选 ...

  4. [转载] 关于Win7 x64下过TP保护的一些思路,内核层过保护,驱动过保护

    首先特别感谢梦老大,本人一直没搞懂异常处理机制,看了他的教程之后终于明白了.在他的教程里我学到了不少东西.第一次在论坛发帖,就说说Win7 x64位下怎么过TP保护.如果有讲错的地方,还望指出.说不定 ...

  5. MSI Error 1603 installing AppFabric 1.1 / Win7 x64

    MSI Error 1603 installing AppFabric 1.1 / Win7 x64  Archived Forums A-B > AppFabric Caching   先说解 ...

  6. WIN7 X64 如何运行debug

    WIN7 X64 如何运行debug 下载debug.exe 安装dosbox 安装完成后将debug.exe放入某个盘的根目录下(以c盘为例) 然后运行dosbox,输入 mount c c:\ c ...

  7. win7 X64可用的单文件IE7 遨游美化版

    这个是在深度社区淘来的,哇,才700多Kb,而且里面还集成了很多的功能,在win7 X64下面正常运行.哈哈 分享给大家: http://pan.baidu.com/share/link?uk=171 ...

  8. win7 X64可用的单文件IE6

    由于日常调试需要用到老版本的ie,没有办法!用ietest老师感觉不好使,动不动就死了.就找到了ie的单文件版,有博主 小明爱切糕制作,IE6.7.8单文件版本 http://www.cnblogs. ...

  9. mysql-5.5.25-winx64在win7 x64 免安装配置

    os:win7 x64 mysql:mysql-5.5.25-winx64 将mysql-5.5.25-winx64.zip 解压缩到F:\mysql-5.5.25-winx64 目录下: 1.将my ...

随机推荐

  1. 【DP】【P5007】 DDOSvoid 的疑惑

    Description 给定一棵以 1 为根的有根树,定义树的一个毒瘤集为一个集合,并且集合中任意两个元素之间不存在祖先与后代关系. 定义一个毒瘤集的毒瘤指数为集合内所有元素的价值之和 要求给定树的所 ...

  2. PID控制算法的c语言实现十二 模糊PID的参数整定

    这几天一直在考虑如何能够把这一节的内容说清楚,对于PID而言应用并没有多大难度,按照基本的算法设计思路和成熟的参数整定方法,就算是没有经过特殊训练和培训的人,也能够在较短的时间内容学会使用PID算法. ...

  3. Python与R的争锋:大数据初学者该怎样选?

    在当下,人工智能的浪潮席卷而来.从AlphaGo.无人驾驶技术.人脸识别.语音对话,到商城推荐系统,金融业的风控,量化运营.用户洞察.企业征信.智能投顾等,人工智能的应用广泛渗透到各行各业,也让数据科 ...

  4. Exponential Distribution指数分布

    sklearn实战-乳腺癌细胞数据挖掘(博主亲自录制视频教程) https://study.163.com/course/introduction.htm?courseId=1005269003&am ...

  5. Bootsrap 直接使用

    Bootstrap3 直接使用 <!DOCTYPE html> <html> <head> <title>Bootstrap3</title> ...

  6. 详谈AngularJS的Directive

    指令Directive是AngularJS最重要的核心.我用AngularJS用的并不是很深,一直以来也是在使用中摸索,从一开始的什么都不懂,查不到系统的资料,到开始使用一些简单的数据绑定{{}},到 ...

  7. Map总结

    Map是键值对集合,是一对一对往上存的,要保持键的唯一性 形式:Map<K, V> 方法: 增 put(K key, V value) 若存储时Map中有相同的键,则返回原来键的值,并覆盖 ...

  8. 【POJ】2774 Long Long Message

    [题意]给定两个字符串S和T,求最长公共子串.len<=10^5. [算法]后缀自动机 [题解]对字符串S建SAM,然后令串T在S上跑匹配. 这是自动机最原本的功能——匹配,就是串T在SAM(S ...

  9. Sublime快捷键(一)

    最近在工作中,遇到的sublime的快捷键,以后再工作中用到的我会稍后增加的~ 快捷键: 1.切换标签页: Ctrl + Tab    切换标签页: Ctrl + Shift + Tab   返回刚切 ...

  10. 59、有用过with statement吗?它的好处是什么?

    python中的with语句是用来干嘛的?有什么作用? with语句的作用是通过某种方式简化异常处理,它是所谓的上下文管理器的一种 用法举例如下: with open('output.txt', 'w ...