如何让你的软件像360一样防杀？揭秘Windows程序自我保护五大黑科技！.md

你是否遇到过自己开发的软件被用户随手用任务管理器“一键终结”？想要实现像360安全卫士那样的“不死之身”，让程序无法被轻易关闭？今天，我们就来深扒Windows程序自我保护的五大核心技术，从底层原理到代码实现，手把手教你打造“防杀金身”！

一、注册表禁用任务管理器：简单粗暴的物理防御

原理：直接修改注册表，禁用任务管理器功能，让用户“无工具可用”。
代码实现：

// 禁用任务管理器（值为1）
Registry.SetValue(
    @"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System",
    "DisableTaskmgr", 
    1, 
    RegistryValueKind.DWord
);

优点：简单直接，一行代码解决问题。
缺点：

• 用户体验极差，容易引发用户反感。
• 杀毒软件会疯狂弹窗警告“发现恶意注册表修改”！

二、双进程互保：如影随形的“复活甲”

原理：主程序与守护进程互相监视，一方被杀，另一方立刻将其复活。
核心逻辑：

1. 主进程启动时拉起守护进程（隐藏窗口或伪装成系统服务）。
2. 双方通过心跳包（如命名管道、共享内存）保持通信。
3. 若心跳中断，存活方立即重新启动对方进程。

代码片段：

// 守护进程监听主进程退出事件
Process mainProcess = Process.Start("MyApp.exe");
mainProcess.WaitForExit(); // 阻塞等待
RestartMainProcess();      // 立即重启

适用场景：需要高可靠性的后台服务程序。
致命弱点：遇到“双杀高手”（同时结束两个进程）直接破防！

三、API钩子：偷天换日的“规则修改器”

原理：劫持系统API（如TerminateProcess），拦截针对自身进程的终止请求！
技术实现：

1. C++编写DLL：用Detours库挂钩关键API。
2. C#调用DLL：通过P/Invoke加载钩子模块。

C++钩子代码：

// 拦截TerminateProcess调用
BOOL WINAPI HookedTerminateProcess(HANDLE hProcess, UINT uExitCode) {
    if (GetProcessId(hProcess) == g_selfPID) {
        return FALSE; // 阻止终止自身进程！
    }
    return OriginalTerminateProcess(hProcess, uExitCode);
}

优势：防护强度高，可对抗普通任务管理器。
风险：容易被安全软件标记为“恶意行为”，需处理驱动签名问题。

四、Windows Job Objects：系统级的“进程保险箱”

原理：通过系统作业对象（Job Object）将进程“关进笼子”，限制外部操作。
C#关键代码：

// 创建作业对象并绑定进程
var hJob = CreateJobObject(IntPtr.Zero, "MyApp_Protect");
AssignProcessToJobObject(hJob, Process.GetCurrentProcess().Handle);

// 设置策略：作业关闭时自动终止进程（反向利用特性）
SetInformationJobObject(
    hJob, 
    JobObjectInfoType.ExtendedLimitInformation,
    ref extendedInfo // 包含JOB_OBJECT_LIMIT_KILL_ON_JOB_CLOSE标志
);

优点：系统原生支持，资源占用低。
缺点：管理员仍可用taskkill /F强制击杀，需配合其他方案使用。

五、内核级终极防御：标记为“系统关键进程”

原理：调用未公开的Native API，让系统认为你的进程“生死攸关”——强行终止会导致蓝屏！
代码示例：

[NtDll] // 来自Windows内核的隐藏函数
private static extern int NtSetInformationProcess(
    IntPtr hProcess, 
    int infoClass, 
    ref int isCritical, 
    int length
);

// 标记当前进程为关键进程
int isCritical = 1;
NtSetInformationProcess(
    Process.GetCurrentProcess().Handle, 
    0x29,  // ProcessBreakOnTermination
    ref isCritical, 
    sizeof(int)
);

警告：

• 需管理员权限，普通程序无法使用。
• 滥用此功能可能导致系统崩溃，慎用！

实战建议：组合拳才是王道！

1. 基础防御：Job Objects + 双进程守护，兼顾资源占用和稳定性。
2. 高强度防护：API钩子 + 注册表屏蔽，适合安全类软件。
3. 终极方案：内核驱动隐藏进程 + 关键进程标记（仅限特殊场景）。

避坑指南：

• 必须申请管理员权限（在app.manifest中添加<requestedExecutionLevel level="requireAdministrator"/>）。
• 避免频繁心跳检测导致CPU占用过高。
• 对用户透明化操作（如提示“安全防护已开启”而非静默修改注册表）。

结语

程序防杀的本质是一场“攻防博弈”——从系统API到内核机制，从用户态到驱动层，每一个技术细节都可能成为胜负的关键。然而，技术无罪，请务必遵守法律法规，勿将此类技术用于恶意软件！