200分！关于防止一个进程被杀的问题。 (200分)

X

xianjun

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-05-07

• #41

谢谢，正在看。<br><br>空间是我的，不过网速不是很快，所以只能给大家用来交换一些小文件~

 

C

Coolcfan

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-05-08

• #42

http://xianjun.vicp.net/temp/killprocess.zip<br>是VC++写的能够提升权限到SYSTEM并且杀掉系统关键进程的那个软件吗？<br><br>呵呵，我的程序也写出来了，用的是钩子替换API的方法。<br>直接废掉TerminateProcess这个函数----不管是什么杀进程软件都要调用这个函数的。<br>在2K和XP测试通过，经过包括ProcessKiller（软件原名如此，VC++写，有源码）的多款<br>杀进程软件，包括UPX甚至FSG在内的多款加壳软件的测试（有人说HOOK法对加了壳的不好用）<br><br>不过也谢谢大家！

 

C

Coolcfan

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-05-08

• #43

tt.t兄，你的方法好是好，但我要的是我的程序运行后让别的程序不会被杀。。。<br>请用E-mail联系<br>或者用MSN:coolcfan@hotmail.com<br>QQ:123952440

 

C

Coolcfan

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-05-08

• #44

xianjun的那个空间是买的吗？

 

C

Coolcfan

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-05-08

• #45

ring0...

 

J

jianguobu

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-05-08

• #46

以下是别人说的:<br><br>又绕回到老问题上了。<br>98下，可以完全隐藏进程。但要想不被杀掉大概只有vxd了。<br>NT下连隐藏都是不可能的。目前有两种方法。<br>一、就是大家所说的线程注射，也就是注入到一个系统进程中去。<br>二、就是做两个相互保护的进程，相互监视，同时监视注册表启动项。但是这个方法似乎在<br>&nbsp; &nbsp; 安全模式下无效，因为安全模式下系统不会启动注册表启动项中的进程。

 

C

Coolcfan

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-05-08

• #47

xianjun的killprocess程序是个好程序，收藏之。<br>但是我写的SoulGuard还是能拦住它的第一次尝试--因为它调用了TerminateProcess函数<br>至于Debug之类的停止进程的方法，相信病毒和木马没有那么多工夫使用。<br><br>我说了，Hook就行了！！！！！！！！！！！！！！！！！！

 

X

xianjun

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-05-09

• #48

tt.t: 出错的原因找到了,ENUMWINDOW时候报错! 被我TRY掉了,然后我发现只要把你那服务停掉就跟正常程序一样了.所以新版本的KillProcess我加了服务控制的功能。然后慢慢手工查找服务吧~ 运气好找到了就把你的程序也KILL掉了，：）<br><br>Coolcfan: 新版本的KillProcess我加了几个小功能，可以启动、停止、安装、删除服务，然后删除进程的方式也加了几个，你看看你的SoulGuard还能不能行？ 卡卡~<br><br>http://xianjun.vicp.net/temp/killprocess.zip

 

C

Coolcfan

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-05-11

• #49

但是你认为现在的病毒和木马中杀进程的部分能有你的KillProcess那么厉害吗？<br>还有，只要你有使用WinAPI，我就能想办法拦住--------除非是服务，不过我也并不想<br>保护服务。<br>你的KillProcess的源代码不介意给我看看吗？

 

C

Coolcfan

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-05-11

• #50

那就请列举一下所有的可以杀进程的编程方法

 

X

xianjun

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-05-11

• #51

当然都是调用API啦，除非你能把所有API都截住，但好象不太可能~<br>我还想到一招，就是利用嵌入线程的办法在目标进程引发一个致命错误，使操作系统自己把它干掉，这样的话你总没办法防止了吧，因为不可能把SetWindowHook这类API也不让用啊，即使可以，应该也还有其他办法的。<br><br>我的意思是说完全做到不被杀是不可能。你当然可以根据你的用户计算机水平，程序的应用环境等来决定你要做到什么程度。

 

C

Coolcfan

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-05-14

• #52

当然了，你说的很对。<br>我的程序防的不是杀进程软件，而是木马和病毒。<br>如果说所有的木马和病毒都是用TerminateProcess来杀进程，那我就完全可以<br>发布我的SoulGuard了。可是如果说有人（比如说xianjun兄您）做了一个木马<br>可以不用TerminateProcess来杀进程----就像新版本的KillProcess一样，那<br>我就不得不去想办法防了。<br>而且我的这个软件是准备参加科技创新大赛的（以前好像鲜有人用API Hook来<br>做一个安全软件），所以请xianjun多多指教。我的QQ:123952440<br>我的E-Mail:coolcfan@sina.com<br><br>另外tt.t也给我一个杀进程软件，叫ProcessMon，是pjf写的（Who is pjf?）<br>也能绕过SoulGuard，不过他使用的SYS驱动程序。