摘要:
监控进程对象和线程对象操作,可以使用`ObRegisterCallbacks`这个内核回调函数,通过回调我们可以实现保护calc.exe进程不被关闭,具体操作从`OperationInformation->Object`获得进程或线程的对象,然后再回调中判断是否是计算器,如果是就直接去掉`TERMINATE_PROCESS`或`TERMINATE_THREAD`权限即可。 阅读全文
posted @ 2020-06-14 19:59
lyshark
阅读(674)
评论(0)
推荐(0)
浙公网安备 33010602011771号