windows 上驅動阻止關機重啓操做

Windows 上關機重啓有不少相關的操做 HOOK 一個點搞不定  具體須要如下 4 處來布控

1.  SSDT HOOK NtInitiatePowerAction 函數 ，直接返回失敗廢掉這個函數

2. SSDT HOOK NtSetSystemPowerState 函數  也是直接返回失敗

3. Shadow SSDT HOOK NtUserCallOneParam 函數  其第二個參數的值若是等於 0x34 (xp sp3 下面) 那麼就是關鍵重啓操做 直接返回失敗

4. 最後一點 也就是網上一些所謂強制關機軟件的實現原理  使用的是 NtShutdownSystem 函數  網上不少人說不能直接 HOOK 我就沒去試了 看了下 直接 HOOK 廢掉貌似是對大部分的強制關機軟件有效的 。這裏繞個彎 ，調用這個函數以前通常都要提權 要獲取進程能夠關閉系統的權限，好的 我讓你獲取失敗不久行了

   SSDT HOOK NtAdjustPrivilegesToken 函數 判斷下要提高的權限是否是 SE_SHUTDOWN_PRIVILEGE  是的話 直接返回失敗

好了 進過上述4步處理，如今你惟一關閉系統的辦法就是長按機箱電源鍵了。。