JXCraft(阻止目標(biāo)進(jìn)程執(zhí)行工具)v1.0.2.9綠色版

JXCraft(阻止目標(biāo)進(jìn)程執(zhí)行工具)是一款可以限制您電腦運(yùn)行某些程序的工具，如果您不想您的電腦運(yùn)行某些程序直接使用這款JXCraft(阻止目標(biāo)進(jìn)程執(zhí)行工具)將指定的文件或者程序列入限制名單即可。

基本簡(jiǎn)介:

最近為了做一臺(tái)Windows服務(wù)器內(nèi)WebServer的安全 需要阻止php-cgi.exe執(zhí)行別的任意程序 找了半天沒(méi)找到合適的軟件來(lái)限制(PS:可能是找的姿勢(shì)不對(duì)也可能是市面上就沒(méi)有這種功能的工具 系統(tǒng)自帶的組策略彈框讓人很不爽 而且第一次配置完要重啟才能生效) 所以就順手開(kāi)發(fā)了本工具(界面以及驅(qū)動(dòng)均為本人自行編寫(xiě))

軟件特色:

攔截指定路徑的程序執(zhí)行

emmmm 這玩意兒用途不少 比如手工殺毒 或者像我一樣防止容器內(nèi)通過(guò)代碼執(zhí)行外部程序或者提權(quán)

具體使用場(chǎng)景看自行需求

使用方法

路徑

采用Unicode編碼匹配與存儲(chǔ) 不存在特殊字符匹配不到的情況 可以使用通配符

*代表任意字符(可以為空)

?代表單個(gè)字符(不能為空)

對(duì)象

可以選擇當(dāng)前或者父級(jí)

當(dāng)前代表與路徑匹配的程序禁止/允許被執(zhí)行

父級(jí)代表與路徑匹配的進(jìn)程禁止/允許創(chuàng)建別的進(jìn)程(相對(duì)于被創(chuàng)建的進(jìn)程來(lái)說(shuō)是父進(jìn)程)

例如界面截圖中

第三條規(guī)則 禁止 當(dāng)前 C:\Windows\System32\calc.exe 也就是禁止Windows計(jì)算器(calc.exe)被運(yùn)行(Win10的計(jì)算器文件名不同 不是calc.exe)

第四條規(guī)則 禁止 父級(jí) C:\Windows\System32\taskmgr.exe 也就是禁止Windows任務(wù)管理器(taskmgr.exe)再運(yùn)行任何程序(Win10的任務(wù)管理器通知svchost.exe來(lái)創(chuàng)建新進(jìn)程 父進(jìn)程并非任務(wù)管理器本身)

操作

可以選擇禁止或者允許

這個(gè)就不用多說(shuō)了吧

優(yōu)先級(jí)

體現(xiàn)在規(guī)則在列表中的順序中 可以在規(guī)則列表窗口中右鍵菜單進(jìn)行上移下移來(lái)改變優(yōu)先級(jí)

例如界面截圖中

第一條規(guī)則 允許 當(dāng)前 C:\Windows\System32\mstsc.exe 以及 第四條規(guī)則 禁止 父級(jí) C:\Windows\System32\taskmgr.exe

產(chǎn)生的結(jié)果是在Windows任務(wù)管理器(taskmgr.exe)中可以運(yùn)行Windows遠(yuǎn)程桌面(mstsc.exe) 但是不可運(yùn)行別的任何程序

配置

服務(wù)里可以進(jìn)行安裝/啟動(dòng)/停止/卸載驅(qū)動(dòng)的操作 并可以設(shè)置驅(qū)動(dòng)開(kāi)機(jī)自動(dòng)加載(開(kāi)機(jī)啟動(dòng)選項(xiàng)是自動(dòng)啟動(dòng)驅(qū)動(dòng) 并非自動(dòng)啟動(dòng)界面程序)

注意事項(xiàng):

本軟件采用NT驅(qū)動(dòng)程序攔截進(jìn)程創(chuàng)建 并非在R3層檢測(cè)到進(jìn)程啟動(dòng)再殺死(萬(wàn)一病毒之類的有多進(jìn)程互相保護(hù)或者在殺死進(jìn)程前執(zhí)行了惡意代碼就麻煩了 并且結(jié)束進(jìn)程還可能失敗導(dǎo)致漏過(guò))

所以會(huì)加載同目錄下X86.sys或X64.sys(自動(dòng)加載對(duì)應(yīng)操作系統(tǒng)位數(shù)的版本) 由于64位Win7開(kāi)始 驅(qū)動(dòng)程序必須數(shù)字簽名后才能加載 所以用了吊銷證書(shū)進(jìn)行了簽名 若殺軟報(bào)毒請(qǐng)自行選擇是否使用