Windows 上关机重启有很多相关的操作 HOOK 一个点搞不定 具体需要以下 4 处来布控
-
SSDT HOOK NtInitiatePowerAction 函数 ,直接返回失败废掉这个函数
-
SSDT HOOK NtSetSystemPowerState 函数 也是直接返回失败
-
Shadow SSDT HOOK NtUserCallOneParam 函数 其第二个参数的值如果等于 0x34 (xp sp3 下面) 那么就是关键重启操作 直接返回失败
-
最后一点 也就是网上一些所谓强制关机软件的实现原理 使用的是 NtShutdownSystem 函数 网上很多人说不能直接 HOOK 我就没去试了 看了下 直接 HOOK 废掉貌似是对大部分的强制关机软件有效的 。这里绕个弯 ,调用这个函数之前一般都要提权 要获取进程可以关闭系统的权限,好的 我让你获取失败不久行了
SSDT HOOK NtAdjustPrivilegesToken 函数 判断下要提升的权限是不是 SE_SHUTDOWN_PRIVILEGE 是的话 直接返回失败
好了 进过上述4步处理,现在你唯一关闭系统的办法就是长按机箱电源键了。。
jpg 改 rar