mxcjmn 发表于 2014-6-23 17:32:47

阻止某的进程创建指定的进程,阻止进程再次创建

需求:
我是做网管维护的,因为我所处的地区很多监管部门都在各自的管理软件中投放了很多的广告,导致客户机出现卡顿,死机,蓝屏,甚至是盗号的现象。通过长久以来我对这些软件的观察发现。这些个所谓的“管理软件”有以下几种触发方式:
1、在检测到游戏刚刚运行或者游戏退出时,弹出IE链接广告,或者是含有窗体的广告。
2、在检测到指定的进程创建后弹出广告,如QQ.EXE;YY.EXE等
3、有些是在使用IE浏览网页时所不定到哪个页面你点击任何的链接,都会弹出来一个跟你所点链接毫不相干的广告页面。
4、许多弹出的广告据我使用Process explorer查看,它们的父进程要么是svchost.exe,要不就是explorer.exe
5、这些管理软件会创建一些随机名称的目录,或者是随名名称的进程,25到32个字符据多,然后在这些目录里下载一些挖矿软件。
6、都会往IE里加载许多的DLL插件,什么BHO之类的增值插件非常的多。基本上IE浏览器都没法用。
7、暂时没摸清楚的稍后再补充上来---------------
介于我只是这一行业中的微小末位单元,无论如何呐喊始终都得不到相关部门的重视,并且近来有愈演愈烈的趋势了。
我通过对批处理和AU3的学习认识的加深,想到了可否通过以下的方式来缓解(解决不敢想)这类软件的卑劣行径。
开机后运行这个“未来的”程序后使用如下效果。
以下为循环监测
       1、自动识别当前进程列表中的进程名、或者期所在的目录名是否同时含有"0-9" , "a-z" , "A-Z"的特征,并且目录名或者进程名的长度>20 , <35。如果有的话就终止这个进程,并阻止其再次运行
(注意,我此前是使用批处理实现的,,我所使用的方法是添加注册表里的映像劫持以及修改这个文件的权限,但是批处理效率低下,而且在添加了劫持后偶尔会出现某个进程的CPU占用率一直据高不下10-25%)
       2、阻止指定的进程创建指定的进程(或者说发现它创建指定的进程后直接结束掉其新建的进程),如svchost.exe不允许创建iexplorer.exe这个进程,避免其被某些进程利用注入后由其弹出广告。
      3、阻止一些已知的DLL或者类似的插件注册到IE浏览器。
      4、额外的不紧要的需求,可否持续的检测系统当前的资源占用率,如CPU资源,GPU资源,内存资源。如果发现某一个进程每次都在系统资源空闲较多时就占用了很多的CPU或者GPU资源,但是内存占用又不多的情况下,就写入到日志中去。(这类挖矿程序的特征一般是进程的运行时间比较长,基本上是在系统启动后10分钟-30分钟左右就启动了)-------------------------------------------
我已经学习了AU3一段时间,对一些基础的脚本基本上都看的懂,我想要实现的效果我大概也有学习的方向,但是因为能力有限吧,学的一直很慢。但是问题依然排在那儿等着我们去解决,所以在此求助于各位论坛里的朋友,如果可以提供思路,或者说提供一些参考的代码。本人不胜感激。对有特别和大力帮助的朋友,本人愿意付酬谢。

mxcjmn 发表于 2014-6-23 18:12:58

看来朋友们都挺忙的。20多个看的,还没有一个回复的。
小弟在此再次请求朋友们给予些帮助吧。
提供些成熟的思路或者实现方式都行,小弟不胜感谢呀

tvzml 发表于 2014-6-23 18:31:21

弄毛了,他们出绝招的啊,你何苦呢。

kevinch 发表于 2014-6-24 18:24:02

有一些东西,比如某个程序或者某个目录下的,可以在组策略里禁止,详情可以搜索一下

nmgwddj 发表于 2014-6-24 19:40:01

第一个问题:帮助文档搜索ProcessList。
第二个问题:关于阻止进程创建(仔细阅读代码你的诸多问题都可以迎刃而解):
http://www.autoitx.com/thread-16181-1-1.html
第三个问题:如果想阻止的彻底一点,除非Hook RegCreateKey RegOpenKey。如果退一步可以设定BHO注册表项的权限,让其无法写入。
第四个问题:论坛里面多的是。

善于搜索让学习更有效率。

mxcjmn 发表于 2014-6-25 00:26:11

回复 5# kevinch


    此前一直用的组策略+批处理实对待一些经常变目录但是文件版本不变的
但是最后开始,这些广告程序的版本也开始频繁的升级了。有时候1天变两次。人工组策略俨然是跟不上了。

mxcjmn 发表于 2014-6-25 00:33:13

回复 6# nmgwddj

第1个问题,因为进程名称和目录都是随机的,但是又都包含一定的特征,如都含有0-9,A-Z等特征,且长度都是25-32字符的。您所说的processlist没法办法来识别这类进程呀。正则是个不错的方式,但是一直写不出特别合适的。帮而来此求助
第2个问题,阻止进程创建,我目前正在研究P大的代码,希望可以精简后依然可以实现效果。但P大的代码初衷是希望实现类似HIPS的功能。我这边是单纯的希望阻止进程的创建,目标不一样,但过程值得借鉴。
第三个问题,如果彻底断了BHOREG,系统就不正常了,像正常的应用,如支付宝,网银都没法用了。我想说的是我有这些BHO的文件实体,但因为他们每次释放的路径都不一样,所以我没有太好的办法去DROP它。这也是我来求助的原因之一,此前的时候我是用批处理注册SET变量来寻找这些文件的,但现在来看。这些软件的的父进程在释放这些文件的时候,不知道是软件的行业需要,还是为了防止我们禁制广告,已经去系统变量做了很多的调整。
第四问题,论坛我找了些,能单纯的识别系统资源的占用情况,但不能用在监测此类进程上。

谢谢您的回复

kevinch 发表于 2014-6-25 06:56:07

回复 7# mxcjmn
直接阻止升级程序运行不行吗?

mxcjmn 发表于 2014-6-27 19:52:56

回复 9# kevinch


    这类主管单位的程序做的都比较神,它的主进程兼顾了多项功能,其中就包含了释放进程这一项,释放过程通常都是主==>多个副进程(其中某个)==>副进程==>广告进程。
再说了,就是封IP也不行。因为据采集发现它们的IP也是兼顾了多项功能,如果你了封了,你的软件就会提示注册失败,二代码验证功能或者是会员卡刷新功能就不能用了。

nmgwddj 发表于 2014-6-28 00:17:08

仔细学习p版代码,你的所有需求都可实现。
如果自己不多开动脑筋,再多人给你死的代码都没有意义。

mxcjmn 发表于 2014-6-29 23:56:28

看来这个问题,暂时是没人能够提供些许帮忙了,在此结束本贴,麻烦请处理一下
页: [1]
查看完整版本: 阻止某的进程创建指定的进程,阻止进程再次创建