驱动程序保护进程(修改SSDT方式)源码
typedef NTSTATUS (*ZWOPENPROCESS)( OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN PCLIENT_ID ClientId ); NTSYSAPI NTSTATUS NTAPI ZwOpenProcess ( OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN PCLIENT_ID ClientId ); ZWOPENPROCESS OldZwOpenProcess; NTSTATUS NewZwOpenProcess ( OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttribu tes, IN PCLIENT_ID ClientId ) { NTSTATUS ntStatus; ntStatus = ((ZWOPENPROCESS)(OldZwOpenProcess)) ( ProcessHandle, DesiredAccess, ObjectAttributes, ClientId ); if(ClientId->UniqueProcess == (HANDLE)ulPID) *ProcessHandle = NULL; return ntStatus; }
用户评论
32位可用。64位系统因为要签名故而无法加载服务
win32可以使用,64位不行
非常感谢,刚开始学习,拿到不错的源码资料
谢谢分享。。。。。。
可惜我是个新手不知道如何编译驱动程序。。。。。。但还是谢谢楼主了!
不错,不过编译报错了:错误 1 error PRJ0019: 某个工具从以下位置返回了错误代码: "正在执行生成文件项目操作" Protect.W7 Protect.W7