呵呵, 用ntdll.dll里的ZwSupsendProcess和ZwResumeProcess这两个函数

ZwSupendProcess是用来挂起进程的
ZwResumeProcess是用来解除挂起状态的

思路是这样, 先定时创建进程快照, 然后枚举进程列表是否有我们要禁用的进程名字, 如果有, 就把它挂起, 再弹出个MessageBox窗口提示是否要关闭, 不关的话用ZwResumeProcess解除挂起状态, 要关的话, 就直接强行TerminateProcess!


呵呵, 这个程序是我在研究一朋友写的进程监控程序时候偷学到的, 所以自己也实现了一个小Demo

用的环境是RadAsm, 以前不知在哪里下的, 用资源编辑器的时候, 在图书馆电脑上的360提示它对explorer.exe进程插入远程线程, 我比较郁闷

我用着RadAsm环境感觉很爽的...所以还一直在用这个. 不知道我这个编译环境是不是真的带了木马程序

恩恩, 有道理