實(shí)現(xiàn)進(jìn)程防殺的方法

基本信息

申請?zhí)?/td> CN201110096654.5 申請日 -
公開(公告)號 CN102156834B 公開(公告)日 2013-04-24
申請公布號 CN102156834B 申請公布日 2013-04-24
分類號 G06F21/52(2013.01)I 分類 計(jì)算;推算;計(jì)數(shù);
發(fā)明人 于曉軍;萬雪松;趙辰清 申請(專利權(quán))人 北京思創(chuàng)銀聯(lián)科技股份有限公司
代理機(jī)構(gòu) 北京路浩知識產(chǎn)權(quán)代理有限公司 代理人 北京思創(chuàng)銀聯(lián)科技股份有限公司
地址 100098 北京市海淀區(qū)大鐘寺13號院1號樓華杰大廈7B9號
法律狀態(tài) -

摘要

摘要 本發(fā)明公開了一種實(shí)現(xiàn)進(jìn)程防殺的方法,涉及進(jìn)程監(jiān)控技術(shù)領(lǐng)域,所述方法包括步驟:S1:申請一個(gè)五字節(jié)的全局?jǐn)?shù)組,第一個(gè)字節(jié)代表跳轉(zhuǎn)JMP指令,后四個(gè)字節(jié)代表跳轉(zhuǎn)的大小,用所述五字節(jié)的全局?jǐn)?shù)組替換ObReferenceObjectByHandle的前五個(gè)字節(jié);S2:根據(jù)DetourObReferenceObjectByHandle實(shí)現(xiàn)進(jìn)程防殺。應(yīng)用本發(fā)明所述的方法,由于ObReferenceObjectByHandle相對于比較底層,所以任何非法的進(jìn)程關(guān)閉和正常的進(jìn)程關(guān)閉時(shí)都會(huì)調(diào)用ObReferenceObjectByHandle把句柄轉(zhuǎn)化為File_Object,然后把進(jìn)程關(guān)閉。所以我們可以HOOK?ObReferenceObjectByHandle攔截將要關(guān)閉的進(jìn)程,然后判斷是否為正常的關(guān)閉進(jìn)程,其不會(huì)被輕易的繞過,能夠很好地保護(hù)進(jìn)程不被非法關(guān)閉。