Home Sign Up Sign In
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member  Sign In
xiaopenyou
V2EX  ›  问与答

求推荐 禁止进程启动的工具(Win)

  •   
  •   xiaopenyou · Feb 21, 2017 · 2628 views
    This topic created in 3351 days ago, the information mentioned may be changed or developed.
    需求:超级小(常驻内存< 40M ),安静

    ① 组策略不行。第一不能禁其它进程,启动的子进程,第二会弹窗
    ② Hips 型杀软不行。知名如 ESET4.2 ,也占内存约 100M ,仍然太大
    ③ 没杂七杂八功能。内置规则?统统不要! 小而美,如 cow.exe(11M)、 Diito.exe(8M)……人小但鬼大

    简单说,求 只有 AD 的小 Hips ( RD FD 都不要)

    谢谢
  • hips
  • exe
  • 进程
  • 鬼大
    15 replies    2017-03-07 13:48:15 +08:00
    Izual_Yang
        1
    Izual_Yang  
       Feb 21, 2017 via Android
    火绒
    langmoe
        2
    langmoe  
       Feb 21, 2017   ❤️ 1
    http://www.apprcn.com/silent-terminator.html
    phrack
        3
    phrack  
       Feb 21, 2017 via Android
    哈哈,我自己倒是写了一个这样的工具,自动关掉各种软件的弹窗广告和后台进程,用 autoit 写的,才几十行。
    wevsty
        4
    wevsty  
       Feb 21, 2017
    如果只是想阻止特定程序运行,那么 NTFS 取消那个文件的执行权限即可,系统内置功能。
    不要求强度的话,楼主可以自己写个驱动完成这个事情,用 PsSetCreateProcessNotifyRoutineEx 安装一个回调函数就行了。
    visonme
        5
    visonme  
       Feb 21, 2017   ❤️ 1
    不是很流氓的可以在应用层 HOOK NtCreateSection , NtCreateProcess ,NtOpenProcess,通常 NtCreateSection 足矣,如果碰上流氓的可以考虑驱动,比如 HOOK SSDT 或者如 wevsty 说的设置回调。

    此类的独立应用还真没见过,一般都是大类应用包含此类,但是这样的应用基本无意主动防御软件了~
    300
        6
    300  
       Feb 21, 2017 via Android
    @wevsty 不过这会弹窗,不符合楼主第一个条件=。=
    wevsty
        7
    wevsty  
       Feb 21, 2017   ❤️ 1
    @winterbells 弹窗不弹窗是由调 CreateProcess 的进程决定的,想确保不弹窗提示那只能 HOOK 掉该进程对 MessageBox 的调用(当然,如果程序自己绘制的弹窗那还是拦不住的)。

    @visonme 在驱动层面上,考虑目前主流的都是 X64 , SSDT HOOK 相对比较麻烦,一般来说设置回调就足够了,安全性并没有太大的问题,而且相对比较易用稳定。
    hugo775128583
        8
    hugo775128583  
       Feb 21, 2017 via Android
    autorun
    xiaopenyou
        9
    xiaopenyou  
    OP
       Feb 21, 2017
    谢谢大家提供的,竟然有这么多方法

    火绒,我在自定义防护中,设置了阻止运行,但不起作用。很奇怪
    但火绒真小!三个进程总共才 47M ,棒!

    silent-terminator 这个工具很好! autoit/AutoHotkey 的方案也很棒!简单有效

    另,也搜索到一款,只有 AD 的小 Hips : Smart Object Blocker
    内存占用仅 10M : https://www.wilderssecurity.com/threads/smart-object-blocker-block-exe-dll-drivers.378369/
    但我测试了,有些奇怪的 bug
    lslqtz
        10
    lslqtz  
       Feb 22, 2017 via iPhone
    autoruns
    lslqtz
        11
    lslqtz  
       Feb 22, 2017 via iPhone
    我看成禁止开机启动… sry 我记得之前我用过个 hips
    这个靠 uac 也不错
    Jasmine2016
        12
    Jasmine2016  
       Feb 23, 2017
    火绒+1
    xiaopenyou
        13
    xiaopenyou  
    OP
       Feb 23, 2017
    火绒确实很棒。国产安全软件口碑,被 360 、 LBE 、腾讯百度……各种全家桶搞烂了
    没想到还有这种出淤泥而不染的,宛如一股清流
    zungmou
        14
    zungmou  
       Mar 7, 2017
    什么软件都不用,直接给 everynone 权限加上禁止一切就可以了。
    xiaopenyou
        15
    xiaopenyou  
    OP
       Mar 7, 2017
    @zungmou 禁权限会引发弹窗,不符合要求①
    实际上,最后用 AutoHotkey 解决了。。
    ```
    trashProcess := ["DownloadSDKServer.exe", "SogouCloud.exe", "SpotifyWebHelper.exe"]
    Loop {
    For index, value in trashProcess {
    Process, Exist, %value% ;查找进程是否存在
    if ( ErrorLevel != 0 ) {
    Process, Close, %ErrorLevel% ;终止进程
    if ( ErrorLevel = 0 )
    MsgBox, 检测到垃圾进程,但我没有成功的结束它!
    }
    Sleep, 10000
    }
    }
    ```
    事后 kill 不够,要事前禁止执行的话,可以用 hips 比如火绒……
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   5197 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 54ms · UTC 03:56 · PVG 11:56 · LAX 20:56 · JFK 23:56
    ♥ Do have faith in what you're doing.