实现进程防杀的方法
基本信息
| 申请号 | CN201110096654.5 | 申请日 | - |
| 公开(公告)号 | CN102156834B | 公开(公告)日 | 2013-04-24 |
| 申请公布号 | CN102156834B | 申请公布日 | 2013-04-24 |
| 分类号 | G06F21/52(2013.01)I | 分类 | 计算;推算;计数; |
| 发明人 | 于晓军;万雪松;赵辰清 | 申请(专利权)人 | 交通银行股份有限公司北京中关村园区支行 |
| 代理机构 | 北京路浩知识产权代理有限公司 | 代理人 | 北京思创银联科技股份有限公司 |
| 地址 | 100098 北京市海淀区大钟寺13号院1号楼华杰大厦7B9号 | ||
| 法律状态 | - | ||
摘要
| 摘要 | 本发明公开了一种实现进程防杀的方法,涉及进程监控技术领域,所述方法包括步骤:S1:申请一个五字节的全局数组,第一个字节代表跳转JMP指令,后四个字节代表跳转的大小,用所述五字节的全局数组替换ObReferenceObjectByHandle的前五个字节;S2:根据DetourObReferenceObjectByHandle实现进程防杀。应用本发明所述的方法,由于ObReferenceObjectByHandle相对于比较底层,所以任何非法的进程关闭和正常的进程关闭时都会调用ObReferenceObjectByHandle把句柄转化为File_Object,然后把进程关闭。所以我们可以HOOK?ObReferenceObjectByHandle拦截将要关闭的进程,然后判断是否为正常的关闭进程,其不会被轻易的绕过,能够很好地保护进程不被非法关闭。 |
