怎么才能做到禁止进程的启动?
我想做一个监控软件,驻留在内存,禁止一切我不允许的进程启动,大家看看有没什么办法?
我试过的方法有:
1.挂接CreateProcessW实现对进程创建的完全控制
2.PsSetCreateProcessNotifyRoutine捕获一个进程的启动
但是这两种方法都是在进程启动才能得知,此时可能进程已经做完想要做的事了,
所以一定要进程没启动前就判断.

[解决办法]
通过文件名,进行判断,发现用户磁盘上有这个文件名的exe
屏蔽,或者删除.

说过了

其实,一般的做法就是,进程启动后得到通知,马上把这个进程kill掉
[解决办法]
知道进程名，修改注册表的server项
[解决办法]
呃 要是ntfs格式的话,可以修改文件权限 不允许运行就OK了

[解决办法]
HOOK CreateProcess的话是进程启动时才能得到通知,但是你既然都HOOK到了,你不能直接就给它返回了么?如果通过CreatePorcess办不到,那HOOK再底层一点的:zwCreateProcess(不知道记错了没)

话说回来,你通过进程名来判断,也不是很理想啊.
[解决办法]
进程启动后得到通知,马上把这个进程kill掉
这个方法比较方便，不然只是启动前检查还是比较麻烦啊～
[解决办法]
挂接CreateProcessW
判断里面的命令，如果是禁止的程序，直接return FALSE;即可。
[解决办法]
感觉不会有什么好办法，等待答案
前头一位仁兄说的不错：不让这个程序有运行的机会
否则都已经启动了，你再怎么处理，不都是马后炮？

[解决办法]
hook CreateProcess就可以做到不让程序有机会运行
[解决办法]
hook NtCreateProcessEx 44
[解决办法]
http://bbs.driverdevelop.com/


[解决办法]
1.挂接CreateProcessW实现对进程创建的完全控制
2.PsSetCreateProcessNotifyRoutine捕获一个进程的启动
但是这两种方法都是在进程启动才能得知,此时可能进程已经做完想要做的事了,
————————————————————————————————————
应该是启动前吧！
用zwCreateProcess来启动
hook zwCreateProcess 或者hook CreateProcess
看是你要过滤的变不启动他。
[解决办法]
主要看你是什么用途，要做到什么级别的。如果你要做到ROOTKIT级，就安全得多了。
[解决办法]
hook createprocess以后判断进程就可以
如果要禁止某个进程启动就直接返回false
[解决办法]
hook createprocess 都HOOK了,他前面还有些操作已做完了?
[解决办法]
算了,看了没有什么好答案,就当散分吧
_________
hoho,jf
http://bbs.driverdevelop.com/htm_data/98/0704/100613.html
或许有帮助