SSDT HOOK NtInitiatePowerAction 函数 ,直接返回失败废掉这个函数
SSDT HOOK NtSetSystemPowerState 函数 也是直接返回失败
Shadow SSDT HOOK NtUserCallOneParam 函数 其第二个参数的值如果等于 0x34 (xp sp3 下面) 那么就是关键重启操作 直接返回失败
最后一点 也就是网上一些所谓强制关机软件的实现原理 使用的是 NtShutdownSystem 函数 网上很多人说不能直接 HOOK 我就没去试了 看了下 直接 HOOK 废掉貌似是对大部分的强制关机软件有效的 。这里绕个弯 ,调用这个函数之前一般都要提权 要获取进程可以关闭系统的权限,好的 我让你获取失败不久行了
SSDT HOOK NtAdjustPrivilegesToken 函数 判断下要提升的权限是不是 SE_SHUTDOWN_PRIVILEGE 是的话 直接返回失败
http://www.codeweblog.com/windows-%E4%B8%8A%E9%A9%B1%E5%8A%A8%E9%98%BB%E6%AD%A2%E5%85%B3%E6%9C%BA%E9%87%8D%E5%90%AF%E6%93%8D%E4%BD%9C/)