当前位置：首页 > article >正文

win10下驱动进程保护

article 2026/3/22 2:13:41

网上可以查到很多WIN7下的驱动后台进程保护代码而那些代码在WIN10下并不适用故写此篇来文章来总结我在编写WIN10下后台进程保护驱动程序的过程与经验,因为源码文件结构比较杂乱在此文章里我粘部分代码在最后再给出完整项目的github地址。首先说进程关闭通常会用三种方法1.利用进程管理器关闭2.打开CMD调用taskkill指令关闭3.调用taskkill加上-t参数进行强行进程关闭在代码方面与网上其他大神在win7下的进程保护驱动的代码与思路完全一致都是调用 ObRegisterCallbacks()回调函数OB_CALLBACK_REGISTRATION obReg;OB_OPERATION_REGISTRATION opReg;memset(obReg,0,sizeof(obReg));obReg.VersionObGetFilterVersion();obReg.OperationRegistrationCount1;obReg.RegistrationContextNULL;RtlInitUnicodeString(obReg.Altitude,L321000);memset(opReg,0,sizeof(opReg));//初始化结构体变量//下面请注意这个结构体的成员字段的设置opReg.ObjectTypePsProcessType;opReg.OperationsOB_OPERATION_HANDLE_CREATE|OB_OPERATION_HANDLE_DUPLICATE;opReg.PreOperation(POB_PRE_OPERATION_CALLBACK)preCall;//在这里注册一个回调函数指针obReg.OperationRegistrationopReg;//注意这一条语句returnObRegisterCallbacks(obReg,obHandle);//在这里注册回调函数preCall回调函数定义为OB_PREOP_CALLBACK_STATUSpreCall(PVOID RegistrationContext,POB_PRE_OPERATION_INFORMATION pOperationInformation){//获取pid,这里的HANDLE保存的其实是一个进程pidHANDLE pidPsGetProcessId((PEPROCESS)pOperationInformation-Object);charszProcName[16]{0};UNREFERENCED_PARAMETER(RegistrationContext);strcpy(szProcName,GetProcessImageNameByProcessID((ULONG)pid));//比较字符串返回0则字符串相同if(!_stricmp(szProcName,Project1.exe)){//如果创建句柄if(pOperationInformation-OperationOB_OPERATION_HANDLE_CREATE){//OriginalDesiredAccess为原本权限DesiredAccess为即将要更改的新权限//如果要结束进程,进程管理器结束进程发送0x1001taskkill指令结束进程发送0x0001taskkil加/f参数结束进程发送0x1401intcodepOperationInformation-Parameters-CreateHandleInformation.OriginalDesiredAccess;if((codePROCESS_TERMINATE_0)||(codePROCESS_TERMINATE_1)||(codePROCESS_KILL_F))//给进程赋予新权限pOperationInformation-Parameters-CreateHandleInformation.DesiredAccess0;//DbgPrint(hello %x, pOperationInformation-Parameters-CreateHandleInformation.OriginalDesiredAccess);}}returnOB_PREOP_SUCCESS;}要注意的是在这里负责获取进程名称以用于比较的函数GetProcessImageNameByProcessID为自定义的·我会在结尾贴上代码的github地址。看到这就会有人发现我这里的代码与网上win7下的代码别无二致其实两者区别的关键就是三个值PROCESS_TERMINATE_0PROCESS_TERMINATE_1PROCESS_KILL_F这三个值在我的自定义头文件myhead.h里是这样定义的//进程管理器结束代码#definePROCESS_TERMINATE_00x1001//taskkill指令结束代码#definePROCESS_TERMINATE_10x0001//taskkill指令加/f参数强杀进程结束码#definePROCESS_KILL_F0x1401这就是我与网上win7下的代码不一样的地方如果照搬网上win7下的代码编译后在win10下运行可能会出现被保护进程连打都打不开的现象最后程序虽然有了一定成果但是还有不足有待后续的改正首先说说成果1.可以成功防止cmd指令taskkill -pid xxx以及taskkill -f -pid xxx来关闭进程(pid为9912效果图从此可以看出虽然指令行反馈为成功实际上后台进程依然在运行再看看taskkill -f -pid从此可以看出加上-f参数的强制关闭直接反馈拒绝访问进程管理器的后台进程也是依然在运行的说明没有问题再看看进程管理器结束进程的效果在这里我要分成两种情况一种是直接打开win10下的进程管理器显示给我们的界面也就是进程管理器菜单栏那一栏显示“进程”的那个页面还有一种情况则是菜单栏显示“详细信息“的那一栏为什么我要分为两种情况因为我刚刚提到的不足就在这里再“详细信息”一栏关闭程序驱动可以正常拦截并阻止进程的关闭而在“进程”一栏的界面直接结束进程则会出现被保护的用户层程序突然出现CPU占用爆炸的情况CPU占用甚至可能会出现90%以上的现象到底是为什么我也还没有搞清楚如果有大神可以指点一二小弟感激不尽我在后续也会继续进行调试研究然后看效果图在”详细信息“一栏可以看到弹出的拒绝访问的错误弹窗说明是没问题的。在“进程“一栏CPU占用会高达90%我用这个驱动程序去保护Qt编写的运行在后台的窗口程序被保护的窗口程序也无法继续在前台正常运行最后崩溃停止运行事实上这种情况感觉就好像是随机发生的有时会出现这种情况有时又不会让人摸不着头脑。补充在Windows进程管理器下会出现CPU调用过高导致程序崩溃的原因是内存资源已被强制释放而进程又没被关闭进程又没有任何读写权限导致程序崩溃解决此问题的办法是先捕获结束进程返回码0x1001 捕获到此值后先将进程权限变为0阻止进程被关闭再进行捕获返回码0x1041如果捕获到说明就是在是在“进程”页面结束进程所以在捕获到0x1041后再恢复进程的本来所有权限就能完美解决问题了。代码地址github

win10下驱动进程保护

相关文章：

win10下驱动进程保护

PyCharm测试功能太烦人？3种方法彻底关闭自动检测（附避坑指南）

LIN总线帧结构：从字节域到完整报文解析

「开源者行」开源社高校宣讲：复旦大学站

腾讯纯文本LLM训视觉encoder，拿捏图表长视频，达到开源小模型SOTA！

Java并发编程终极指南：RedSpider社区concurrent项目深度解析 [特殊字符]

优质学术论文平台推荐：六大权威站点提供智能降重与自然语言处理功能，有效规避查重标红问题

龙虾的应用商店挂牌了！北大开源MagicSkills，让Agent Skill可自由安装组合同步

探索 Awesome GPT Agents：解锁AI助手在网络安全领域的无限可能

如何快速突破微信网页版限制：wechat-need-web完整解决方案指南

稳定扩散WebUI本地化中文版安装与使用教程

【亲测免费】 smartParsePro 项目快速入门教程

StructBERT语义相似度工具5分钟部署：一键解决中文句子匹配难题

测试 Elasticsearch，现在变得更简单了

30-seconds-of-python 项目教程：掌握Python高效编程的终极秘籍

计算机毕业设计springboot基于的洗衣店服务管理系统 SpringBoot驱动的智能洗衣服务平台设计与实现基于Java微服务架构的衣物洗护订单管理系统

华为：智慧交管感知解决方案及产品手册 2023

采购订单增强避坑指南：二代增强MM06E005 vs 三代增强ME_GUI_PO_CUST如何选？

uboot之do_bootm_linux启动内核函数源码解析

头歌平台实战：如何通过预防性维护避免斐波那契数列计算的性能陷阱

开源项目教程：探索`awesome-campus-expert`

Invest模型年产水量计算：从数据获取到结果导出的全流程实战

GitHub_Trending/we/WeChatMsg常见错误排查：导出失败解决方案

明道云Webhook与ERP双向同步：手把手教你实现发货状态实时更新

PC-DMIS最佳拟合坐标系实战：四种算法选择与避坑指南

运用长尾关键词提升SEO效果与关键词优化策略解析

uboot网络配置避坑指南：为什么你的tftpserver总是ping不通？

K3s容器健康检查配置：确保应用高可用性的完整指南 [特殊字符]

【Autosar Can Sample】第二章之Ecuc模块配置实战：从PDU管理到硬件交互

终极Lorri教程：如何简化Nix Shell管理并提升开发效率