首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
V2EX  ›  问与答

求推荐 禁止进程启动的工具(Win)

  •  
  •   xiaopenyou · 2017-02-21 19:49:41 +08:00 · 1139 次点击
    这是一个创建于 936 天前的主题,其中的信息可能已经有所发展或是发生改变。
    需求:超级小(常驻内存< 40M ),安静

    ① 组策略不行。第一不能禁其它进程,启动的子进程,第二会弹窗
    ② Hips 型杀软不行。知名如 ESET4.2 ,也占内存约 100M ,仍然太大
    ③ 没杂七杂八功能。内置规则?统统不要! 小而美,如 cow.exe(11M)、 Diito.exe(8M)……人小但鬼大

    简单说,求 只有 AD 的小 Hips ( RD FD 都不要)

    谢谢
    15 回复  |  直到 2017-03-07 13:48:15 +08:00
        1
    Izual_Yang   2017-02-21 20:46:46 +08:00 via Android
    火绒
        2
    langmoe   2017-02-21 21:01:56 +08:00   ♥ 1
        3
    phrack   2017-02-21 21:04:17 +08:00 via Android
    哈哈,我自己倒是写了一个这样的工具,自动关掉各种软件的弹窗广告和后台进程,用 autoit 写的,才几十行。
        4
    wevsty   2017-02-21 21:19:29 +08:00
    如果只是想阻止特定程序运行,那么 NTFS 取消那个文件的执行权限即可,系统内置功能。
    不要求强度的话,楼主可以自己写个驱动完成这个事情,用 PsSetCreateProcessNotifyRoutineEx 安装一个回调函数就行了。
        5
    visonme   2017-02-21 21:30:01 +08:00   ♥ 1
    不是很流氓的可以在应用层 HOOK NtCreateSection , NtCreateProcess ,NtOpenProcess,通常 NtCreateSection 足矣,如果碰上流氓的可以考虑驱动,比如 HOOK SSDT 或者如 wevsty 说的设置回调。

    此类的独立应用还真没见过,一般都是大类应用包含此类,但是这样的应用基本无意主动防御软件了~
        6
    winterbells   2017-02-21 21:37:29 +08:00 via Android
    @wevsty 不过这会弹窗,不符合楼主第一个条件=。=
        7
    wevsty   2017-02-21 21:52:18 +08:00   ♥ 1
    @winterbells 弹窗不弹窗是由调 CreateProcess 的进程决定的,想确保不弹窗提示那只能 HOOK 掉该进程对 MessageBox 的调用(当然,如果程序自己绘制的弹窗那还是拦不住的)。

    @visonme 在驱动层面上,考虑目前主流的都是 X64 , SSDT HOOK 相对比较麻烦,一般来说设置回调就足够了,安全性并没有太大的问题,而且相对比较易用稳定。
        8
    hugo775128583   2017-02-21 21:59:22 +08:00 via Android
    autorun
        9
    xiaopenyou   2017-02-21 22:45:19 +08:00
    谢谢大家提供的,竟然有这么多方法

    火绒,我在自定义防护中,设置了阻止运行,但不起作用。很奇怪
    但火绒真小!三个进程总共才 47M ,棒!

    silent-terminator 这个工具很好! autoit/AutoHotkey 的方案也很棒!简单有效

    另,也搜索到一款,只有 AD 的小 Hips : Smart Object Blocker
    内存占用仅 10M : https://www.wilderssecurity.com/threads/smart-object-blocker-block-exe-dll-drivers.378369/
    但我测试了,有些奇怪的 bug
        10
    lslqtz   2017-02-22 09:48:38 +08:00 via iPhone
    autoruns
        11
    lslqtz   2017-02-22 09:49:15 +08:00 via iPhone
    我看成禁止开机启动… sry 我记得之前我用过个 hips
    这个靠 uac 也不错
        12
    Jasmine2016   2017-02-23 14:52:50 +08:00
    火绒+1
        13
    xiaopenyou   2017-02-23 21:31:14 +08:00
    火绒确实很棒。国产安全软件口碑,被 360 、 LBE 、腾讯百度……各种全家桶搞烂了
    没想到还有这种出淤泥而不染的,宛如一股清流
        14
    zungmou   2017-03-07 12:22:42 +08:00
    什么软件都不用,直接给 everynone 权限加上禁止一切就可以了。
        15
    xiaopenyou   2017-03-07 13:48:15 +08:00
    @zungmou 禁权限会引发弹窗,不符合要求①
    实际上,最后用 AutoHotkey 解决了。。
    ```
    trashProcess := ["DownloadSDKServer.exe", "SogouCloud.exe", "SpotifyWebHelper.exe"]
    Loop {
    For index, value in trashProcess {
    Process, Exist, %value% ;查找进程是否存在
    if ( ErrorLevel != 0 ) {
    Process, Close, %ErrorLevel% ;终止进程
    if ( ErrorLevel = 0 )
    MsgBox, 检测到垃圾进程,但我没有成功的结束它!
    }
    Sleep, 10000
    }
    }
    ```
    事后 kill 不够,要事前禁止执行的话,可以用 hips 比如火绒……
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1429 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 19ms · UTC 16:30 · PVG 00:30 · LAX 09:30 · JFK 12:30
    ♥ Do have faith in what you're doing.