基于HOOK技术的进程管理系统研究

针对Windows任务管理器不能显示系统内部隐藏进程和不具有结束多进程守护病毒的能力问题,设计并实现了一个进程管理系统。系统应用基于HOOK技术检测隐藏进程的方法,继承了挂钩系统服务描述表和挂接SwapContext两种检测隐藏进程方法的优点,克服了前者可靠性不强、后者效率不高的缺点。通过截获TerminateProcess函数,转向自定义函数MyTerminateProcessList,实现同时结束多个进程的功能,弥补了任务管理器的不足。实验结果表明,该系统能够有效地检测到隐藏系统内部的进程,同时具有便捷性、高效性、占有系统资源少等特点。

改进的隐藏进程检测查杀技术

提出一种隐藏进程检测和查杀技术。融合直接操作内核对象技术与Hook KiswapProcess技术的优点,克服前者不能检测采用调用门技术隐藏的进程的缺点,改善后者检测效率偏低的不足,通过Hook NtTerminateProcess函数结束隐藏进程并保护系统中重要进程,基于该方法设计实现一个的隐藏进程查杀系统。模拟实验结果表明,该系统能有效地检测并结束绕过操作系统进程管理器的隐藏进程,具有保护进程的能力,兼具效率高、消耗系统资源少等优点。