编程论坛 → 汇编论坛

禁用指定进程Demo

马甲1号发布于 2011-05-10 18:18， 811 次点击

呵呵, 用ntdll.dll里的ZwSupsendProcess和ZwResumeProcess这两个函数

ZwSupendProcess是用来挂起进程的
ZwResumeProcess是用来解除挂起状态的

思路是这样, 先定时创建进程快照, 然后枚举进程列表是否有我们要禁用的进程名字, 如果有, 就把它挂起, 再弹出个MessageBox窗口提示是否要关闭, 不关的话用ZwResumeProcess解除挂起状态, 要关的话, 就直接强行TerminateProcess!

呵呵, 这个程序是我在研究一朋友写的进程监控程序时候偷学到的

, 所以自己也实现了一个小Demo

只有本站会员才能查看附件，请登录

3 回复

#2

马甲1号2011-05-10 18:26

用的环境是RadAsm, 以前不知在哪里下的, 用资源编辑器的时候, 在图书馆电脑上的360提示它对explorer.exe进程插入远程线程, 我比较郁闷

我用着RadAsm环境感觉很爽的...所以还一直在用这个. 不知道我这个编译环境是不是真的带了木马程序

#3

zklhp2011-05-10 20:30

以下是引用马甲1号在2011-5-10 18:26:05的发言：

用的环境是RadAsm, 以前不知在哪里下的, 用资源编辑器的时候, 在图书馆电脑上的360提示它对explorer.exe进程插入远程线程, 我比较郁闷

我用着RadAsm环境感觉很爽的...所以还一直在用这个. 不知道我这个编译环境是不是真的带了木马程序

莫听某60瞎咧咧很简单的道理：用这个东西的人都是懂汇编的要有问题早调试出来了

当然汇编做的东西杀毒软件误报也挺正常的 masmplus被卡巴误报病毒

#4

马甲1号2011-05-10 21:14

恩恩, 有道理

1