一、设计界面
1、添加一个编辑框输入要保护的进程PID,并添加两个按钮,一个保护进程,一个解除保护
2、右击编辑框,添加变量
二、驱动层代码实现
1、声明一个受保护的进程PID数组
static UINT32 受保护的进程PID[256] = { 0 };
2、添加PID到保护函数
void 添加PID到保护(UINT32 pid) { for (size_t i = 0; i < 256; i++) { if (受保护的进程PID[i]==0|| 受保护的进程PID[i]==pid) { 受保护的进程PID[i] = pid; break; } } }
3、删除PID保护函数
void 删除PID保护(UINT32 pid) { for (size_t i = 0; i < 256; i++) { if (受保护的进程PID[i] == pid) { 受保护的进程PID[i] = 0; break; } } }
4、清空PID保护函数
void 清空PID保护() { memset(受保护的进程PID, 0, sizeof(受保护的进程PID)); }
5、PID是否受保护函数
BOOLEAN PID是否受保护(UINT32 pid) { for (size_t i = 0; i < 256; i++) { if (pid==0) { return 0; } if (受保护的进程PID[i] == pid) { return TRUE; } } return FALSE; }
6、将函数在头文件声明一下
void 添加PID到保护(UINT32 pid); void 删除PID保护(UINT32 pid); void 清空PID保护(); int PID是否受保护(UINT32 pid);
7、获取PID
UINT32 当前进程PID = PsGetCurrentProcessId(); HANDLE PID = PsGetProcessId((PEPROCESS)OperationInformation->Object); if (PID是否受保护(PID)==1) { DbgPrint("nxyn:sys pEPROCESS=%p ", OperationInformation->Object); DbgPrint("nxyn:被保护的PID:%d \n", PID); ACCESS_MASK 获取权限 = OperationInformation->Parameters->CreateHandleInformation.OriginalDesiredAccess; ACCESS_MASK 获取新权限 = OperationInformation->Parameters->CreateHandleInformation.DesiredAccess;//将句柄权限清零 //让结束进程的功能失效 获取权限 &= ~PROCESS_TERMINATE; 获取权限 &= ~PROCESS_VM_OPERATION; 获取权限 &= ~PROCESS_VM_WRITE; 获取权限 &= ~PROCESS_VM_READ; //返回我们修改过的权限 OpenProcess OperationInformation->Parameters->CreateHandleInformation.DesiredAccess = 获取权限; DbgPrint("nxyn:获取权限=%X 获取新权限=%X", 获取权限, 获取新权限); }
8、添加控制码
#define irp添加PID到保护 CTL_CODE(FILE_DEVICE_UNKNOWN, 0x804, METHOD_BUFFERED,FILE_ANY_ACCESS) #define irp删除PID保护 CTL_CODE(FILE_DEVICE_UNKNOWN, 0x805, METHOD_BUFFERED,FILE_ANY_ACCESS)
9、通过控制码实现添加和删除保护
else if (控制码== irp添加PID到保护) { IRP添加PID到保护(IRP指针); } else if (控制码 == irp删除PID保护) { IRP删除PID保护(IRP指针); }
10、添加和删除的代码具体实现
void IRP添加PID到保护(PIRP IRP指针) { int* 缓冲区 = (int*)IRP指针->AssociatedIrp.SystemBuffer; int 计算结果 = 0; if (缓冲区) { UINT32* pPID = (UINT32*)缓冲区; UINT32 pid = pPID[0]; 添加PID到保护(pid); IRP指针->IoStatus.Information = sizeof(int);//设置操作的字节数 IRP指针->IoStatus.Status = STATUS_SUCCESS;//返回状态 IoCompleteRequest(IRP指针, IO_NO_INCREMENT);//完成一个IRP请求 KdPrint(("nxyn:PID已添加到保护")); } } void IRP删除PID保护(PIRP IRP指针) { int* 缓冲区 = (int*)IRP指针->AssociatedIrp.SystemBuffer; int 计算结果 = 0; if (缓冲区) { UINT32* pPID = (UINT32*)缓冲区; UINT32 pid = pPID[0]; 删除PID保护(pid); IRP指针->IoStatus.Information = sizeof(int);//设置操作的字节数 IRP指针->IoStatus.Status = STATUS_SUCCESS;//返回状态 IoCompleteRequest(IRP指针, IO_NO_INCREMENT);//完成一个IRP请求 KdPrint(("nxyn:PID已删除保护")); } }
三、应用层代码实现
1、添加控制码
#define irp添加PID到保护 CTL_CODE(FILE_DEVICE_UNKNOWN, 0x804, METHOD_BUFFERED,FILE_ANY_ACCESS) #define irp删除PID保护 CTL_CODE(FILE_DEVICE_UNKNOWN, 0x805, METHOD_BUFFERED,FILE_ANY_ACCESS)
2、双击保护进程按钮
UpdateData(TRUE);//将窗口的数据更新到变量 char 缓存区[256]; sprintf_s(缓存区, "nxyn:应用程序保护PID控制码为%X\n", irp添加PID到保护); OutputDebugStringA(缓存区); UINT32 输入数据 = m_PID; int 返回数据; DWORD 实际读取字节数; DeviceIoControl( 设备句柄, irp添加PID到保护, &输入数据, sizeof(输入数据), &返回数据, sizeof(返回数据), &实际读取字节数, NULL);
3、双击解除进程保护按钮
UpdateData(TRUE);//将窗口的数据更新到变量 char 缓存区[256]; sprintf_s(缓存区, "nxyn:应用程序删除PID控制码为%X\n", irp删除PID保护); OutputDebugStringA(缓存区); UINT32 输入数据 = m_PID; int 返回数据; DWORD 实际读取字节数; DeviceIoControl( 设备句柄, irp删除PID保护, &输入数据, sizeof(输入数据), &返回数据, sizeof(返回数据), &实际读取字节数, NULL);
四、测试应用
