调试易

要提权到debug权限
然后弄个进程实时监视另一个进程的存在，用Timer实现，找不到进程的话就重启进程

……
那么复杂的东西
那估计要涉及到API HOOK以及Ring0的知识
简单点说，就是把关闭自身的API例如Terminate Process拦截，所以无法关闭，然后拦截WM－CLOSE消息，使得结束任务也不可能，不过后一种方法可以通过注册服务或者注入进行隐藏

不过你也应该知道吧
既然知道了如何HOOK openprocess，HOOK TerminateProcess也不是什么大问题了吧

注册服务不能保证不会被关闭啊，只不过是随WINDOWS启动罢　了，两个进程互相监视，两个都关了，那岂不是也是白搭？

互相监视嘛，
再说一旦HOOK API成功，你怎么去关？
除了APC之类的东西，其他的关不掉
现在杀毒软件防止自身被关闭都用的这种方法

我没有真正的去实验过HOOK TerminateProcess，因为在网上查资料说进程要想不被关闭，应该是HOOK openprocess而不是HOOK TerminateProcess，并且我HOOK openprocess也确实做到了，但问题是不会出现像瑞星或卡巴那样的拒绝访问，所以我觉得他们因该不是这种方法还有楼上的朋友，注册为服务只是随windows启动而启动，并不能保证进程被结束掉。而两个进程相互监视是一个很好的办法，可是会占更多的资源，并且现在只需要做到瑞星或卡巴这样的效果，这个效果肯定是要掌握的，我觉得这个功能很不错！期待解决方法。

（别说我做广告……）
  这类问题还是到看雪去问吧……这里菜鸟居多
  比较传统的是SSDT HOOK或者Inline Hook勾住TerminateProcess，或者是你说的那种方法，NtOpenProcess配合PsGetCurrentProcessId这个API
  但是杀毒软件也有不同，卡吧似乎运用了驱动而并非提权，首先进入Ring0，然后就是调用驱动什么的（别和我谈驱动……我几乎不懂……）
  瑞星就是直接HOOK NtTerminateProcess这个函数以达到目的
  还有其他的就没怎么测试了……

还有就是360，360本身没有什么保护机制，但是那个保险箱确实很厉害，估计和瑞星一样HOOK了 NtTerminateProcess

瑞星是HOOK NtTerminateProcess吗？好象我HOOK TerminateProcess没有什么效果！

？？？
我以前看过一篇关于ring3下对抗瑞星2008的文章，那个提到了瑞星是采用HOOK NtTerminateProcess的
7月的黑防有一篇文章《再谈内核和进程保护》，你可以去看看那篇文章

线程？说错了吧，你想说进程吧
这个可以说是最简单的了，没用的。
结束进程树可以干掉。
360可以同时结束多个进程。
我用DLL注入都不太好了，被杀毒软件判为“风险软件”。
刚下载了本rootkit的专题，再研究研究吧

DLL注入已经是比较原始的方法了
现在可行的就是一个钩子

你的钩子是什么，不是放在DLL ，然后让explorer去调用那种钩子吗？

钩子也分很多种的，内联函数，DLL注入，内核钩子，钩SSDT，钩IDT或者IRP的
总之一堆乱七八糟的

"两个程序相互监视、隐藏进程、HOOK openprocess HOOK NtTerminateProcess"都是不可靠的进程保护，只有在内核级的保护才是安全的！
用DDK开发*.SYS,用*.SYS保护进程才是有效的,否则全是无聊......