ProcessManage
进程保护、进程过滤的小工程、主要亮点是在内核中对操作系统中的用户进行管理.
功能描述:
应用层功能:
- 遍历进程,调用NativeAPI NtQuerySystemInformation遍历进程。
- 与内核对应的程序进行通信,通过进程名进行进程保护。
- 与内核对应的程序进行通信,通过进程PID进程保护。
- 与内核对应的程序进行通信,通过进程PID隐藏保护。
- 进程过滤,只显示当前用户的进程。
- 内核程序的安装、启动、停止、已经删除,同时还有释放内核程序的功能。
内核层功能:
- Hook NtOpenProcess实行通过进程名与进程ID来保护进程,对于保护进ID,可以防止用户恶意的使打PID5、6、7之类的来打开PID为4的进程。
- Hook NtQuerySystemInformation实现只显示当前用户的进程功能。
- 内核用户管理,在内核中是没有用户用户名的概念的,相应的是SID,通过内核用户管理模块可以实现SID与用户名之间的转换。 注:内核程序并没有实时监控用户的新建、删除和修改!