进程保护器和进程监视器 - Process Filter Driver SDK

过程监控和保护

Easefilter进程过滤驱动程序是一个内核模式驱动程序，用于过滤进程/线程的创建和终止，它为您提供了一种简单的方法来开发Windows应用程序以进行Windows进程监视和保护。 借助 EaseFilter 进程过滤器驱动程序，它使您的应用程序能够防止启动不受信任的可执行二进制文件（恶意软件），保护您的数据被不受信任的进程损坏。 它还使您的应用程序能够获取进程/线程创建或终止的回调通知，从新进程信息中您可以获取新创建进程的父进程Id和线程Id，您还可以获取确切的文件名 用于打开可执行文件和用于执行进程的命令行（如果可用）。

进程监视器和保护器库演示

1.灵活的过滤规则配置

通过进程 ID 或通配符进程名称过滤进程，即过滤进程名称 c:\test\*，这意味着它将过滤从文件夹 c:\test 启动的所有进程。

2. 使用控制设置“DENY_NEW_PROCESS_CREATION”阻止特定进程的创建。

3. 获取进程或线程创建和终止的通知。 监视进程并线程处理操作。

如果要获取新进程创建的通知，请启用标志“PROCESS_CREATION_NOTIFICATION”，如果要获取进程终止的通知，请启用标志“PROCESS_TERMINATION_NOTIFICATION”，如果要获取进程句柄的通知 创建或重复时，启用标志“PROCESS_HANDLE_OP_NOTIFICATION”，如果要获取新线程创建的通知，则启用标志“THREAD_CREATION_NOTIFICATION”，如果要获取线程终止的通知，则启用标志“THREAD_TERMINIATION_NOTIFICATION” ，如果您想获得线程句柄已创建或重复的通知，请启用标志“THREAD_HANDLE_OP_NOTIFICATION”。

4.控制特定进程文件访问权限。

设置进程对不同文件夹的特定文件访问权限。 默认情况下，为进程设置所有文件的最小访问权限，然后如果要允许进程访问某些特定文件夹，请将这些具有特定权限的文件夹添加到进程中，如下图所示，允许进程具有读取权限 文件夹 c:\windows，允许完全访问文件夹 c:\mysandbox。

关于EaseFilter

EaseFilter是一家专门从事Windows文件系统过滤驱动开发的公司。 它可以为各种功能提供架构师、实施和测试文件系统过滤器驱动程序。 它还可以提供多个级别的帮助来满足您的特定需求： 为您现有的文件系统过滤驱动程序提供咨询服务； 定制SDK以满足您的需求； 使用 SDK 源代码创建您自己的过滤器驱动程序。