6种进程防杀方案和源码

做一个进程防杀的功能,为了保护我们的软件的服务程序,类似360或瑞星这样的安全产品都有进程防杀的功能。研究了一个多月,总结网上的各种防杀方法并参考其代码,特此将各种实现方法归纳为以下6种,并将其对应源码奉上。

源码全部经过自己修改调试,部分为原创,在vs2005下调试通过,在各种windows操作系统下测试过

源码地址:见附件

1. ring3提升线程为系统线程

 原理:windows在强制结束进程的时候会先结束掉所有的线程,把程序的线程改成系统线程,就可以达到防杀的目的

 优点:ring3实现的进程防杀,无驱动无hook,原理及代码都较为简单,能防止任务管理器杀掉进程

 缺点:只能下xp下有效(与xp打的补丁也有关,有的xp系统会失败)防杀能力有限,例如不能防住IceSword等工具

 该方法是参考了csdn一位朋友的做法,原文地址为 http://blog.csdn.net/KeSummer/archive/2008/05/18/2455379.aspx

2.hookApi之NtQuerySystemInformation

原理:hook NtQuerySystemInformation 来隐藏进程

优点:ring3实现的进程隐藏,无驱动,能在任务管理器里隐藏进程

缺点:只能在nt2000下隐藏进程,通用性较差

3.detours库实现进程防杀

原理:和2类似,hook OpenProcess 来防杀进程

优点:防杀能力和通用性都较强,在nt2000,xp,2003均可防杀

缺点:hookApi是用detours库来实现的,2008下防杀失败,不能防住某些进程工具

4.hook任务管理器结束进程事件

原理:挂钩任务管理器窗口,利用CBT钩子拦截结束进程消息

优点:通用性较强,任意的windows平台均可防止任务管理器杀进程

缺点:只能针对windows任务管理起到防杀作用

5.双进程保护

原理:主进程和守护进程互相监控,发现对方不在就启动对方。为了避免父子进程关系,主进程启动临时进程,临时进程启动守护进程

优点:通用性较强,保护能力较强,可保护windows服务程序。hook防杀需要主程序和桌面交互的,而服务程序是不和桌面交互的

缺点:非真正的防杀,只是杀了又启,手段有点不入流

6.驱动级进程保护

原理:驱动级的ZwQuerySystemInformation hook,来隐藏或防杀进程

优点:防杀能力较强,在IceSword 1.2.2版本下测试通过

缺点:加载有驱动,程序实现较为复杂,驱动级hook被360等杀毒工具检测为木马