关于防止结束任务

如题,就像360一样...不能强制结束进程....弹出《拒绝访问》的提示...我原来也以为它是在拦截API...但是我用自己的代码结束也不行,把它加载到任务管理器里面的DLL卸载了也不行....请问这是什么原理?最后能贴点代码..谢谢了!

解决方案 »

  1.   

    应该不是...它只是在注册表的RUN下添加了一个启动项,没有注册成服务,运行的用户也是我登陆的用户.
      

  2.   

    底层驱动保护等,以及拦截API等,很多杀毒软件都对自己进程做了保护..
      

  3.   

    SafeBoxKrnl.sys使用inline hook了KeUserModeCallback,好像就只有这一个内核hook。
      

  4.   

    你说的不是最关键的,呵呵
    360挂了KiFastCallEntry,在sysenter的门户处挡住了,导致任何内核函数的调用都要经过它的过滤。
      

  5.   

    360就是玩WS起家的。。
    只要能进ring0,干掉任何杀软
      

  6.   

    进了Ring0也不行啊,内核入口的大门给人家占领了.人家先你一步啊得用比它更加WS的方法
      

  7.   

    我原理不是都说了么?你想知道什么?要Hook代码?
      

  8.   

    360的确有多个进程,因为有个保险箱……记得是XXXbox.exe
      

  9.   

    单装一个360主程序不装其他的是单进程的,360Tray.exe当启动了主窗口后,会出现一个360safe.exe
      

  10.   

    只是屏蔽了taskman的杀,用其他的一样杀掉...........
      

  11.   

    API都是通过SPI调用的,看来只有自制一个网络驱动才能过滤,要猛点的话做成内核级驱动
      

  12.   

    360的自我保护做的BT,我没那个代码.它直接Hook 了KiFastCallEntry,你去网上搜下看有没有
      

  13.   

    看来,还有很长很长的路要走啊!先结贴了!谢谢个位,特别是Tr0j4n..