进程如何防止被任务管理器终止或挂起？

longmarchw · 发表于 2024-1-9 14:36

在windows下，用C/C++编写的程序，如何防止被任务管理器终止或挂起？
反过来说，如果一个程序实现了，如何去掉它的这个能力？

董督秀 · 发表于 2024-1-9 15:12

防止被任务管理器终止或挂起：将目标程序降权，给0权限。
去掉目标程序的这个能力，将目标程序提权。

longmarchw · 发表于 2024-1-9 15:37

给目标程序提、降权，需要访问它，正常是不容许对它进行设置吧。有什么办法实现呢？

xXSunyXx · 发表于 2024-1-9 16:00

增加一个高优先级别的调用作为关联部分执行提权,比如调用一个已签名的驱动
比如https://www.aon.com/cyber-solutions/aon_cyber_labs/yours-truly-signed-av-driver-weaponizing-an-antivirus-driver/?spm=a2c6h.12873639.article-detail.7.3de65801lY9WgV
用avast rookit引擎中的已签名驱动aswArPot.sys配合powershell进行提权

15126819695 · 发表于 2024-1-9 16:23

最简单的方法，一个修改进程PID 一个进程保护一个进程隐藏调用方法可以参考我发布的https://www.52pojie.cn/thread-1868664-1-1.html

kiseyzed · 发表于 2024-1-9 16:30

写驱动hook

谁的坏叔叔 · 发表于 2024-1-9 18:54

直接HOOK任务管理器

Light紫星 · 发表于 2024-1-12 16:44

多进程守护可以吧

帐号		自动登录	找回密码
密码			注册[Register]

[求助] 进程如何防止被任务管理器终止或挂起？

个人中心