挂钩 TerminateProcess &从 Handle It Supplies 获取信息

Question

如果要阻止进程终止，一种方法是挂钩 TerminateProcess（或 NtTerminateProcess）。如果进程自行终止（例如，因为您关闭了其窗口），则提供给这些函数的句柄为 NULL，因此您可以使用 GetCurrentProcess() & 找出正在终止的可执行文件。 GetModuleFileNameEx()。由于 GetCurrentProcess() 返回一个伪句柄，因此您可以毫无问题地访问它。

但是，如果一个进程正在终止另一个进程，则提供的句柄不为 NULL。它代表正在终止的进程。问题是，您无法获取有关该过程的信息。您可以简单地返回一个表示“访问被拒绝”的代码，而不是调用原始的 [Nt]TerminateProcess()，但是该毯子会阻止所有进程终止其他进程 - 这是一个坏主意。

句柄必须代表有效的东西，否则 TerminateProcess 将无法用它做任何有用的事情 - 但我什至无法对其调用 GetProcessId()，我得到 ERROR_INVALID_HANDLE （或 ERROR_ACCESS_DENIED）。我尝试了从帮助和在线收集的各种方法，包括获得调试权限（成功）和DuplicateHandle（）（相同的错误）和ZwQueryInformationProcess（）来获取ID（STATUS_ACCESS_DENIED）。我什至无法枚举进程，因为它们返回 ID，而我无法获取 ID，并且 OpenProcess() 总是返回一个新句柄，因此我无法比较句柄。

我只能假设句柄具有 PROCESS_TERMINATE 权限，除此之外别无其他。我知道 Vista 及更高版本由于数字版权管理而保护进程，但我使用 ProcessExplorer 作为我的小白鼠，所以它绝对不是媒体应用程序！

有谁知道我还能如何获得有关从此句柄终止的进程的任何类型的信息？

Answer 1

这只是一个普通的进程句柄。问题是，你的钩子函数是在哪个进程中执行的？如果是调用进程，则句柄可以按原样用于 GetProcessId 或 NtQueryInformationProcess。如果没有，您需要调用 DuplicateHandle 将句柄复制到您的进程中。

如果您收到访问被拒绝错误，可能是因为进程句柄仅具有 PROCESS_TERMINATE 访问权限。在这种情况下，请使用 DuplicateHandle 通过 PROCESS_QUERY_(LIMITED_)INFORMATION 访问“重新打开”进程。