保護自己的進程不被結束可以ssdt hook NtOpenProcess+NtTerminateProcess+NtTerminateThread,不允許打開自己的進程,不允許對結束自己的進程和線程。
有窗口的程序還可以inline hook NtUserQueryWindow+NtUserFindWindowEx+NtUserWindowFromPoint+NtUserNotifyIMEStatus+NtDuplicateObject防止其它程序枚舉和復制自身窗口句柄。
進程的隱藏雖然可以通過修改鏈表實現,但現在的殺軟基本都有anti-rookit功能,效果已經不好,而且,只為隱藏進程專門弄壹個驅動程序,動作太大,得不償失。個人建議用CreateRemoteThread,簡單實用,應用層就可以實現。