longmarchw 发表于 2024-1-9 14:36

进程如何防止被任务管理器终止或挂起?

在windows下,用C/C++编写的程序,如何防止被任务管理器终止或挂起?
反过来说,如果一个程序实现了,如何去掉它的这个能力?{:1_904:}

董督秀 发表于 2024-1-9 15:12

防止被任务管理器终止或挂起:将目标程序降权,给0权限。
去掉目标程序的这个能力,将目标程序提权。

longmarchw 发表于 2024-1-9 15:37

给目标程序提、降权,需要访问它,正常是不容许对它进行设置吧。有什么办法实现呢?

xXSunyXx 发表于 2024-1-9 16:00

增加一个高优先级别的调用作为关联部分执行提权,比如调用一个已签名的驱动
比如https://www.aon.com/cyber-solutions/aon_cyber_labs/yours-truly-signed-av-driver-weaponizing-an-antivirus-driver/?spm=a2c6h.12873639.article-detail.7.3de65801lY9WgV
用avast rookit引擎中的已签名驱动aswArPot.sys配合powershell进行提权

15126819695 发表于 2024-1-9 16:23

最简单的方法,一个修改进程PID 一个进程保护一个进程隐藏   调用方法可以参考我发布的https://www.52pojie.cn/thread-1868664-1-1.html

kiseyzed 发表于 2024-1-9 16:30

写驱动hook

谁的坏叔叔 发表于 2024-1-9 18:54

直接HOOK任务管理器

Light紫星 发表于 2024-1-12 16:44

多进程守护可以吧
页: [1]
查看完整版本: 进程如何防止被任务管理器终止或挂起?


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn