有没有办法阻止其他进程使用CreateToolhelp32Snapshot检测我的进程?
答案 0 :(得分:2)
如果您处于需要保护用户自身的环境中,则这些用户需要是非管理员用户,您只需创建一个以不同用户身份运行的服务或任务,这样就无法将其杀死。
如果您完全需要隐藏该过程,并且您选择的方法是注射和放大然后,在用户模式中至少需要挂钩6件事:
“更好”的解决方案是从PsActiveProcessHead列表中删除您的进程,但您需要处于内核模式才能执行此操作,这意味着编写自定义驱动程序。如果你走这条路线,你的程序将被一些安全工具标记为恶意软件/ rootkit(正确地说是这样)。