希望编写自己的“应用程序白名单工具”像 Bit9 这样的东西？

Question

在尝试了我可能实际使用的项目想法后，我想我可能会尝试用 C# 或 Python 编写自己的简单版本的 Bit9 Parity。我的问题是执行此操作的最佳方法是什么。我已经用谷歌搜索了 .Net 功能以防止进程执行，但我还没有真正找到我正在寻找的东西。我想做的是监视整个系统内存，并拒绝启动任何进程或应用程序，除非在列表中明确标识。 ProcessWatcher 引起了我的注意，但这不是针对特定进程 ID 的。如何阻止所有其他进程启动？这在.Net 中可能吗？那么蟒蛇呢？

Answer 1

此博客文章（ 使用WMI监控. NET）展示了如何做到这一点。通过一些更改，您应该能够准确地完成您想要的操作。

Answer 2

如何阻止所有其他进程启动？

深奥、神秘的操作系统 API 魔力。毕竟，您正在干扰操作系统的工作方式。因此，您必须修补或连接到操作系统本身。

这在 .Net 中可能吗？那么Python呢？

它不涉及时间旅行、反重力或永动机。这是可以做到的。

问题在于弄清楚 (1) 需要哪些操作系统 API 调用才能将新挂钩放入操作系统中，以及 (2) 实现从操作系统到代码的调用。

1. 真的很难。
2. 真的很容易。