32位/64位WINDOWS驱动之进程保护(拒绝CE，OD等工具读写)

最新推荐文章于 2026-04-22 09:37:20 发布

原创最新推荐文章于 2026-04-22 09:37:20 发布 · 1.2k 阅读

0 ·

本内容遵循CC 4.0 BY-SA版权协议

标签

#java #开发语言 #驱动开发 #mfc #c++

#windows #c#

收录于

驱动开发专栏收录该内容

25 篇文章

订阅专栏

文章介绍了如何通过编写驱动程序，禁止OD和CE等调试工具对特定进程进行读写操作。通过设置权限，排除PROCESS_VM_READ和PROCESS_VM_WRITE，可以实现对进程的保护，防止被调试器附加和内存搜索。

32位/64位WINDOWS驱动之进程保护(拒绝CE，OD等工具读写)

一、编写进程保护（拒绝OD,CE读写访问）

参考地址：https://bbs.kanxue.com/thread-248703.htm

驱动层代码：
接着上一篇文章，我们只需要排除读写权限就可以拒绝OD CE等工具对程序的读写。
代码如下：

old权限 &= ~PROCESS_VM_READ;//排除掉读的权限
old权限 &= ~PROCESS_VM_WRITE;//排除掉写的权限

1.我们把权限=0就是拒绝全部权限

代码如下：

OperationInformation->Parameters->CreateHandleInformation.DesiredAccess = 0;// old权限;   =0就是拒绝全部权限

在这里插入图片描述

虚拟机调试如下：

OD附加调试器直接结束

在这里插入图片描述
Ce搜索内存搜索不到。

以上就是全部内容

关注博主即可阅读全文

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

a756598009

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

进程保护工具保护进程不被关闭

01-10

保护进程不被关闭！保护进程不被关闭！保护进程不被关闭！保护进程不被关闭！

参与评论您还未登录，请先登录后发表或查看评论

过非法工具-进程驱动隐藏保护

11-29

过非法工具-进程驱动隐藏保护,驱动级保护软件运行，谁用谁知道

进程守护工具Daemontools-supervise

yili0000a的博客

11-22

1310

工具下载地址：http://cr.yp.to/daemontools/daemontools-0.76.tar.gz 创建package文件夹，安装supervise mkdir /package chmod 1755 package cd package 上传下载的gz文件，解压 tar -zxvf daemontools-0.76.tar.gz 先安装gcc y...

Windows下用C++ Inline Hook保护你的进程：从任务管理器到taskkill都杀不掉（附完整代码）

最新发布

weixin_42522320的博客

04-22

158

本文详细介绍了在Windows下使用C++ Inline Hook技术实现进程防终止的轻量级解决方案。通过拦截OpenProcess和CreateProcessW等关键API调用，构建高效的用户态防护系统，有效抵御任务管理器和taskkill等终止手段。文章包含完整代码实现、系统架构设计及实战部署指南，为开发者提供了一种无需内核驱动的高性价比防护方案。

Supervisor - 进程守护工具

hubingcsdn的博客

01-04

1870

Supervisor 简介 Supervisor /ˈsuːpərvaɪzər/ 监督人，[管理] 管理人；检查员 Supervisor是一个进程管理工具，当进程中断的时候Supervisor能自动重新启动它。可以运行在各种类unix的机器上，supervisor就是用Python开发的一套通用的进程管理程序，能将一个普通的命令行进程变为后台守护进程，并监控进程状态，异常退出时能自动重...

系统服务管理知识-进程守护工具：supervisor

李指导的博客

02-07

3135

进程管理工具之Supervisor

32位/64位WINDOWS驱动之进程保护

a756598009的博客

06-19

2709

加载驱动代码里面加入破解驱动签名限制代码在创建驱动设备后面，在调用一下安装内存保护();//函数在到驱动卸载里面调用一下卸载内存保护();//函数开发环境设置方式是：右击项目，选择属性；选中配置属性中的链接器，点击命令行；在其它选项中输入： /INTEGRITYCHECK 表示设置；/INTEGRITYCHECK:NO 表示不设置。对于使用sources文件编译的方式，增加LINKER_FLAGS=/INTEGRITYCHECK。

32位/64位WINDOWS驱动之保护指定进程PID(拒绝CE，X64dug，OD等工具读写)

a756598009的博客

06-24

1267

给编辑框添加变量类别值变量类型改成UINT32 名称m_PID 完成。把RegistrationContext;在进入派遣函数中增加两个控制开关。进程保护.c里面注释目标进程名。剪切到判断受保护下面并修改为。搜索不到数值，打开内存也没有数据。x64dubug附加进程直接结束。来到添加保护进程按钮控制事件。来到移除保护进程按钮控制事件。读写控制后面添加两个函数。进程名标签改为进程PID。

驱动保护进程句柄降权杀软自保游戏破图标技术原理和实现

鬼手的博客

11-26

1万+

驱动保护进程句柄降权杀软自保游戏破图标技术原理和实现

windows守护进程工具-nssm使用-守护进程-创建服务

插件开发

11-03

3160

nssm是一个服务封装程序，它可以将普通exe程序封装成服务，实现开机自启动，同类型的工具还有微软自己的srvany，不过nssm更加简单易用，并且功能强大。它的特点如下：支持普通exe程序（控制台程序或者带界面的Windows程序都可以）安装简单，修改方便可以自动守护封装了的服务，程序挂掉了后可以自动重启非常好用的开源工具，可以解决一些程序可能因为异常而退出的问题。

Windows内核工具:BlueProtect

m0_46239139的博客

01-18

1036

windows文件保护、注册表保护、进程保护、进程阻止、强杀进程

【驱动级！进程隐藏-按键精灵过检】驱动级，内核级进程隐藏，进程保护。实战效果演示，免费分享。

luoqiaoliang的博客

05-20

9068

废话不多说，干货直接上！免费的驱动级进程隐藏工具分享，还不赶紧带上你的赞和关注白嫖一波吗？

一个简单的进程保护脚本

winkexin的博客

05-18

462

如果你不想看2.bat的运行界面，可以先把运行的2.bat关闭掉，在2.bat的同一个文件夹目录里面新建一个记事本，把下面的vbs代码复制到记事本里，保存成3.vbs格式，然后双击3.vbs就会隐藏运行2.bat。新建一个记事本把下面bat代码复制到记事本里，然后保存成2.bat格式，然后双击运行就可以保护进程了。

2023驱动保护学习 -- 通过驱动保护进程

Web安全工具库

03-28

680

1、头文件源码，把涉及到的进程权限的常量值都添加进去。4、卸载驱动的时候卸载内存保护。

驱动保护 -- 通过PID保护指定进程

Web安全工具库

04-08

1963

1、添加一个编辑框输入要保护的进程PID，并添加两个按钮，一个保护进程，一个解除保护。1、声明一个受保护的进程PID数组。9、通过控制码实现添加和删除保护。10、添加和删除的代码具体实现。6、将函数在头文件声明一下。2、右击编辑框，添加变量。2、添加PID到保护函数。5、PID是否受保护函数。3、双击解除进程保护按钮。3、删除PID保护函数。4、清空PID保护函数。2、双击保护进程按钮。

Uadom驱动级保护工具 v2.02 隐藏进程保护窗口保护内存

Zkezhang的博客

12-26

1246

查看进程句柄、查看进程模块、查看线程句柄、查看进程权限。Uad1.06更新线程进程同时保护，多进程线程均可一起操作。软件功能：保护进程、保护线程、保护窗口、隐藏进程、隐藏内存、隐藏句柄、暂停恢复进程、禁止允许加载驱动。由于软件是测试版驱动加了强壳、配置低的机器可能会占用CPU资源、介意勿用。本软件仅限用于个人测试软件安全防护使用、禁止将本软件用于商业用途。注：软件为测试版，暂时免费试用效果。

通过驱动保护进程方案 (Window )

houxian1103的博客

08-21

4684

当驱动发现打开的进程句柄是我们要保护的进程时，就去掉访问权限，使任何人都无法访问受保护的进程。这个文件定义了主要功能处理程序IRP_MJ_*。具体来说，IRP_MJ_CREATE和IRP_MJ_CLOSE被IRP_MJ_WRITE处理。该文件定义handle_buffer_message处理从IRP_MJ_WRITE. 根据收到的命令，驱动程序将调用enable_protection或disable_protection。- 勾住SSDT的函数，如果用卡巴，就有点麻烦，因为它也是用这招，就看谁先取得了。

windows守护进程工具--nssm使用

点滴记忆

05-06

5086

一、nssm简介 nssm是一个服务封装程序，它可以将普通exe程序封装成服务，实现开机自启动，同类型的工具还有微软自己的srvany，不过nssm更加简单易用，并且功能强大。它的特点如下：支持普通exe程序(控制台程序或者带界面的Windows程序都可以)安装简单，修改方便可以自动守护封装了的服务，程序挂掉了后可以自动重启官网地址：https://nssm.cc/ 二、nssm配置详解 1...

win10下驱动进程保护