在Windows(XP或更高版本,x86-64,如果这很重要)中,保护您的进程/程序不被其他进程访问的常用方法是什么,即使后者具有系统级权限?
答案 0 :(得分:1)
This论文对基于Windows NT的操作系统上使用的几种反调试技术进行了分类和介绍。来自codeproject.com的This
Windows Vista操作系统引入了一种新类型的进程,称为protected process。从历史上看,特权服务(以管理员或本地系统身份运行)通过使用SeDebugPrivilege,无论DACL如何,都能够获得对进程或线程的所有访问权限。
从Windows Vista开始,权限:进程访问权限:DELETE,READ_CONTROL,WRITE_DAC,WRITE_OWNER,PROCESS_ALL_ACCESS,PROCESS_CREATE_PROCESS,PROCESS_CREATE_THREAD,PROCESS_DUP_HANDLE,PROCESS_QUERY_INFORMATION,PROCESS_SET_QUOTA,PROCESS_SET_INFORMATION,PROCESS_VM_OPERATION,PROCESS_VM_READ,PROCESS_VM_WRITE
线程访问权限:
THREAD_ALL_ACCESS,THREAD_DIRECT_IMPERSONATION,THREAD_GET_CONTEXT,THREAD_IMPERSONATE,THREAD_QUERY_INFORMATION,THREAD_SET_CONTEXT,THREAD_SET_INFORMATION,THREAD_SET_THREAD_TOKEN,THREAD_TERMINATE
无法获取受保护的进程或线程。
搜索有关受保护流程的more。