本身程序的作用是监视系统的进程创建和销毁的,由于利用ssdt挂钩ntterminateprocess函数实现了程序禁止关闭的功能,就是任物管理器无法关闭本程序。程序可用性有待提升,当时是面试的时候写的,分享出来大家共同学习一下吧,感觉挂钩部分封装的不错有需要的拿去,原理就是老黄历了,不写了,各位百度一下。
下面有源文件,vs2013直接编译通过,kernal是内核部分的代码
编译产生consolemon.exe和kernalmon.sys
内核文件需要放到特定的C:盘目录,具体可看一下源代码里的说明。
[培训]科锐逆向工程师培训第53期2025年7月8日开班!
