JXFilterProcess 阻止目标进程执行

wszjljx

最近为了做一台Windows服务器内WebServer的安全 需要阻止php-cgi.exe执行别的任意程序 找了半天没找到合适的软件来限制(PS:可能是找的姿势不对也可能是市面上就没有这种功能的工具 系统自带的组策略弹框让人很不爽 而且第一次配置完要重启才能生效) 所以就顺手开发了本工具(界面以及驱动均为本人自行编写)

重要声明
本软件采用NT驱动程序拦截进程创建 并非在R3层检测到进程启动再杀死(万一病毒之类的有多进程互相保护或者在杀死进程前执行了恶意代码就麻烦了 并且结束进程还可能失败导致漏过)
所以会加载同目录下X86.sys或X64.sys(自动加载对应操作系统位数的版本) 由于64位Win7开始 驱动程序必须数字签名后才能加载 所以用了吊销证书进行了签名 若杀软报毒请自行选择是否使用

开发环境
VS2013+WDK8.1

适用系统
32位/64位均支持
Windows 7
Windows 8
Windows 8.1
Windows 10(10586.0版本正常 高版本的没测试)
Windows Server 2008 R2
服务器系统理论上都有对应相同的桌面系统内核 所以理论上都能使用
并且驱动内并未用硬编码 所以理论上支持Win7及之后的所有Windows操作系统

软件功能
拦截指定路径的程序执行
emmmm 这玩意儿用途不少 比如手工杀毒 或者像我一样防止容器内通过代码执行外部程序或者提权
具体使用场景看自行需求

软件界面
由于是专业性工具软件所以并没有设计花里胡哨的界面

规则列表窗口(主界面)


添加/编辑规则窗口


配置服务窗口


使用说明
在无匹配规则的情况下允许执行程序 规则具有优先级 越靠上的规则越先被匹配

路径采用Unicode编码匹配与存储 不存在特殊字符匹配不到的情况 可以使用通配符
*代表任意字符(可以为空)
?代表单个字符(不能为空)

对象可以选择当前或者父级
当前代表与路径匹配的程序禁止/允许被执行
父级代表与路径匹配的进程禁止/允许创建别的进程(相对于被创建的进程来说是父进程)
例如界面截图中
第三条规则 禁止 当前 C:\Windows\System32\calc.exe 也就是禁止Windows计算器(calc.exe)被运行(Win10的计算器文件名不同 不是calc.exe)
第四条规则 禁止 父级 C:\Windows\System32\taskmgr.exe 也就是禁止Windows任务管理器(taskmgr.exe)再运行任何程序(Win10的任务管理器通知svchost.exe来创建新进程 父进程并非任务管理器本身)

操作可以选择禁止或者允许
这个就不用多说了吧

优先级体现在规则在列表中的顺序中 可以在规则列表窗口中右键菜单进行上移下移来改变优先级
例如界面截图中
第一条规则 允许 当前 C:\Windows\System32\mstsc.exe 以及 第四条规则 禁止 父级 C:\Windows\System32\taskmgr.exe
产生的结果是在Windows任务管理器(taskmgr.exe)中可以运行Windows远程桌面(mstsc.exe) 但是不可运行别的任何程序

配置服务里可以进行安装/启动/停止/卸载驱动的操作 并可以设置驱动开机自动加载(开机启动选项是自动启动驱动 并非自动启动界面程序)

2019.01.08更新
修复驱动中调用PsLookupProcessByProcessId获得EPROCESS内核对象后未调用ObDereferenceObject释放对象引用计数的问题

工具下载

JXFilterProcess.zip (199.56 KB, 下载次数: 281)

2019-1-8 01:26 上传

点击文件名下载附件

460864734

wszjljx 发表于 2018-11-1 18:49
同一个文件夹内的EXE可以通过通配符来批量禁止或者允许

好像有点懂了，设置主程序允许，然后文件夹内的使用通配符*.exe设置不允许对吗？
比如：C:\Program Files (x86)\MyDrivers\DriverGenius\drivergenius.exe  设置允许
然后设置C:\Program Files (x86)\MyDrivers\DriverGenius\*.exe设置不允许

希望可以出个配置文件直接编辑的或者可以在浏览框里多选的好，方便就像Firewall.App.Blocker一样，超级方便,这个是禁止联网的，你这个是禁止启动的，配合起来就666了，希望楼主大大更新

疯狂后街

wszjljx 发表于 2018-10-27 00:38
因为在内核中过滤 如果EXE体积过大的话。。。 计算HASH值的时候整个系统会卡 所以不太合适 一般的恶意软 ...

请问下，可不可直接填写程序名，而进行任意路径的限制啊？？就是不用绝对路径，好像组策略一样，直接填了程序名就无论它在哪都照样可以限制了

私はあなたが好

膜拜大佬

bnxf

原创辛苦了，多谢分享实用工具!

月清晖

大佬一言不合就写个带驱动的工具啊！

bbsvca

收藏了，谢谢楼主的分享了。

jamesr2017

多谢分享

nsa1234

好东西啊。谢谢辛苦工作

vagrom

这个厉害了，收藏备用先。