一般常用的保护方法有几种:
- 设置进程属性为隐藏。这种只能骗一般的人。
- API钩子勾住任务管理器里的TermiteProcess进程。
- API全局钩子够上面的那个进程,这样就不怕它用任务管理器之外的工具杀你了。
- 勾住SSDT的函数,如果用卡巴,就有点麻烦,因为它也是用这招,就看谁先取得了。
- 写内核态驱动。
本文就是通过驱动保护进程的方案,在这里这个方案是分为两部分来做的,
一部分是驱动程序。
driver.c:该文件定义了DriverEntry,它是驱动程序的入口点。该文件还定义了on_driver_unload. 卸载驱动程序时,调用此过程并停止保护。
device.c:该文件定义了与设备相关的功能。SetupIoDevice创建一个 IO 设备以与用户模式驱动程序加载程序进行通信。
major_functions.c:这个文件定义了主要功能处理程序IRP_MJ_*。具体来说,IRP_MJ_CREATE和IRP_MJ_CLOSE被IRP_MJ_WRITE处理。该程序将用于handle_buffer_message处理从IRP_MJ_WRITE.
major_functions.c:该文件定义handle_buffer_message处理从IRP_MJ_WRITE. 根据收到的命令,驱动程序将调用enable_protection或disable_protection。
protection.c:此文件执行与进程保护相关的所有操作。在enable_protection函数中,程序用于ObRegisterCallbacks注册句柄创建回调。回调函数是PreOperationCallback和PostOperationCallback。PreOperationCallback在创建进程句柄时调用。当驱动发现打开的进程句柄是我们要保护的进程时,就去掉访问权限,使任何人都无法访问受保护的进程。在disable_protection函数中,程序用于ObUnRegisterCallbacks取消注册回调,以便目标进程不再受到保护。
一部分为驱动加载程序
driver_loader 主要是完成load 上述驱动的。
代码实现如下:
https://github.com/SweetIceLolly/Kernel_Mode_Process_Protection
本文也是在学习过程中看到的,想着分享给大家,让大家共同学习。