使用HOOKAPI防止进程被终止的实现方法

"这篇文章主要介绍了如何使用HOOKAPI技术来实现进程的防终止保护，作者首先提到了学习HOOKAPI的初衷是为了监控剪切板，但在实际需求中应用到了进程保护。文章详细阐述了实现进程防终止的步骤，主要包括HOOK OpenProcess()和TerminateProcess()两个关键API，以此阻止其他进程强制结束被保护的进程。 0x00 前言 作者在项目实践中需要用到进程防终止功能，选择了HOOKAPI作为解决方案。最初接触HOOKAPI是出于对剪切板监控的需求，后来通过研究资料和实践，实现了对OpenProcess()和TerminateProcess()的HOOK，从而达到防止被保护进程被终止的目的。 0x01 实现思路 1. 定义要HOOK的API原型：首先明确需要HOOK的API函数，即OpenProcess()和TerminateProcess()，并根据这些API的原型创建自己的版本。 2. 实现DLL中的自定义API：在动态链接库(DLL)中编写自己的实现，然后通过修改原API的入口地址，用jmp指令重定向到自定义的API实现HOOK。 3. API地址替换：使用GetProcAddress()函数获取系统API的实际地址，再通过WriteProcessMemory()将自定义API的地址写入内存，替换原有的API地址。 4. DLL注入：利用鼠标钩子或其他方法将DLL注入到目标进程中，确保自定义API能被调用。 0x02 进程保护策略 为了有效防止进程被终止，需要同时HOOK OpenProcess()和TerminateProcess()。OpenProcess()用于获取其他进程的句柄，TerminateProcess()用于结束进程。如果仅HOOK其中一个，防护效果不完整。例如，只HOOK OpenProcess()会导致任务管理器无法正确显示受保护进程，而只HOOK TerminateProcess()则无法阻止未知句柄对进程的终止。 0x03 API原型 OpenProcess()原型：HANDLE OpenProcess(DWORD dwDesiredAccess, BOOL bInheritHandle, DWORD dwProcessId); TerminateProcess()原型：BOOL TerminateProcess(HANDLE hProcess, DWORD uExitCode); 在实现过程中，当检测到其他进程试图通过TerminateProcess()结束被保护进程时，程序会弹出禁止关闭的提示窗口，从而达到防终止的效果。 总结 本文详细介绍了利用HOOKAPI实现进程防终止的整个过程，包括关键API的选择、实现原理和具体步骤，为读者提供了实施此类功能的参考。同时，文章强调了同时HOOK OpenProcess()和TerminateProcess()的重要性，以及在实现过程中需要注意的细节问题。"