AU3写的程序，怎么防止被非法结束，特别是冰刃等软件

gyuwlsz · 发表于 2010-2-3 22:15:59

如题

faceyao · 发表于 2010-2-3 22:35:24

可以检测是否在运行，不运行就启动，被结束就继续运行，应该可以的吧

gyuwlsz · 发表于 2010-2-3 22:46:51

这个似乎搞不定冰刃吧

ceoguang · 发表于 2010-2-4 01:43:55

通过Hook

OpenProcess

,不过autoit的级别实在太低了,要想对付iceword并不是那么容易.

menfan · 发表于 2010-2-4 20:42:09

想做坏事啊，呵呵

qq82015930 · 发表于 2010-2-5 01:28:34

这个是很头疼的问题

6FINGERS · 发表于 2010-2-9 11:00:54

估计需要调用第三方软件实现,例如DLL注入进程保护
双进程保护在这个年代压根就是搞搞菜鸟还行!

lanfengc · 发表于 2010-2-9 12:20:52

Au3 写个程序。替换掉开机运行的EXPLORER.EXE 或者是WINLOGON.EXE, 将原来的文件改名， AU3启动时候运行改名后的程序。可以达到开机自加载的目的。然后，再运行一个进程监测EXPLORER.EXE 或者是WINLOGON.EXE是否被结束。如果被结束，直接强制关机。。
自己运行的程序都可使用系统关键进程的名字。而将原来的关键进程改成别的名字来通过本身运行加载。

xx3fb · 发表于 2010-2-19 10:14:36

icesword不是那么容易对付的，autoit级别低，你可以研究研究roolkit，fu，futo都开源的，你看看能移植过来点不！

wyd301 · 发表于 2010-2-20 12:51:29

冰刃等软件大多通过释放SYS取得权限，你也可以通过把程序注入驱动来保护自己的进程，然后通过驱动防火墙拦截其它驱动加载！

		自动登录	找回密码
密码			加入

AU3写的程序，怎么防止被非法结束，特别是冰刃等软件

相关帖子