在 Windows(XP 或更高版本,x86-64,如果这很重要)中,保护您的进程/程序不被其他进程访问的常用方法是什么,即使后者具有系统级特权?
问问题
669 次
1 回答
1
Symantec.com 的这篇 论文分类并介绍了在基于 Windows NT 的操作系统上使用的几种反调试技术。这来自 codeproject.com
Windows Vista 操作系统引入了一种新型进程,称为受保护进程。从历史上看,特权服务(作为管理员或本地系统运行)已经能够通过使用获得对进程或线程的所有访问权限,而不管其DACL是什么SeDebugPrivilege. Starting with Windows Vista, the privileges: Process Access Rights: DELETE, READ_CONTROL, WRITE_DAC, WRITE_OWNER, PROCESS_ALL_ACCESS, PROCESS_CREATE_PROCESS, PROCESS_CREATE_THREAD, PROCESS_DUP_HANDLE, PROCESS_QUERY_INFORMATION, PROCESS_SET_QUOTA, PROCESS_SET_INFORMATION, PROCESS_VM_OPERATION, PROCESS_VM_READ, PROCESS_VM_WRITE Thread Access Rights: THREAD_ALL_ACCESS, THREAD_DIRECT_IMPERSONATION, THREAD_GET_CONTEXT, THREAD_IMPERSONATE , THREAD_QUERY_INFORMATION, THREAD_SET_CONTEXT, THREAD_SET_INFORMATION, THREAD_SET_THREAD_TOKEN, THREAD_TERMINATE 无法为受保护的进程或线程获取。搜索有关受保护进程的更多信息。
于 2013-01-19T08:21:12.740 回答