Win7 x64禁止终止进程保护驱动代码
最近在做Win7 32和64下进程保护的东西,不想用Hook了,更何况64位驱动也不能hook了,就在找怎样在64位下实现,看了tianhz大牛的帖子收获很大,他基本上也给出了实现的关键代码。
就是用ObRegisterCallbacks实现,简单、易用。
只是网上关于这个实现的代码太少了,最多的就是介绍原理和object hook。
现在将可编译的驱动源码贴出来,方便大家使用。
我这个代码里使用比较进程名的方式来比较是否是需要保护的进程。
用的还是常用的搜索system进程中EPROCESS结构中System字段来找本系统的EPROCESS中进程名的偏移的方法。
这种方法有个缺点就是进程名只支持16个字符,长了就显示不出来了。
有哪位大大还有其他获取完整进程名的方法可以给小弟提提意见。
用WDK7600.16385.1中win7 x86和win 7 x64编译就可以了,用xp编译不通过的,因为这个回调函数在xp下没有,vista以后才支持的。
win7 32 和64测试可以达到保护的效果。
源码下载:
页:
[1]