實(shí)現(xiàn)進(jìn)程防殺的方法

基本信息

申請(qǐng)?zhí)?/td> CN201110096654.5 申請(qǐng)日 -
公開(kāi)(公告)號(hào) CN102156834B 公開(kāi)(公告)日 2013-04-24
申請(qǐng)公布號(hào) CN102156834B 申請(qǐng)公布日 2013-04-24
分類號(hào) G06F21/52(2013.01)I 分類 計(jì)算;推算;計(jì)數(shù);
發(fā)明人 于曉軍;萬(wàn)雪松;趙辰清 申請(qǐng)(專利權(quán))人 北京思創(chuàng)銀聯(lián)科技股份有限公司
代理機(jī)構(gòu) 北京路浩知識(shí)產(chǎn)權(quán)代理有限公司 代理人 北京思創(chuàng)銀聯(lián)科技股份有限公司
地址 100098 北京市海淀區(qū)大鐘寺13號(hào)院1號(hào)樓華杰大廈7B9號(hào)
法律狀態(tài) -

摘要

摘要 本發(fā)明公開(kāi)了一種實(shí)現(xiàn)進(jìn)程防殺的方法,涉及進(jìn)程監(jiān)控技術(shù)領(lǐng)域,所述方法包括步驟:S1:申請(qǐng)一個(gè)五字節(jié)的全局?jǐn)?shù)組,第一個(gè)字節(jié)代表跳轉(zhuǎn)JMP指令,后四個(gè)字節(jié)代表跳轉(zhuǎn)的大小,用所述五字節(jié)的全局?jǐn)?shù)組替換ObReferenceObjectByHandle的前五個(gè)字節(jié);S2:根據(jù)DetourObReferenceObjectByHandle實(shí)現(xiàn)進(jìn)程防殺。應(yīng)用本發(fā)明所述的方法,由于ObReferenceObjectByHandle相對(duì)于比較底層,所以任何非法的進(jìn)程關(guān)閉和正常的進(jìn)程關(guān)閉時(shí)都會(huì)調(diào)用ObReferenceObjectByHandle把句柄轉(zhuǎn)化為File_Object,然后把進(jìn)程關(guān)閉。所以我們可以HOOK?ObReferenceObjectByHandle攔截將要關(guān)閉的進(jìn)程,然后判斷是否為正常的關(guān)閉進(jìn)程,其不會(huì)被輕易的繞過(guò),能夠很好地保護(hù)進(jìn)程不被非法關(guān)閉。