windows 上驱动阻止关机重启操作

Windows 上关机重启有很多相关的操作 HOOK 一个点搞不定  具体需要以下 4 处来布控

1.  SSDT HOOK NtInitiatePowerAction 函数 ，直接返回失败废掉这个函数

2. SSDT HOOK NtSetSystemPowerState 函数  也是直接返回失败

3. Shadow SSDT HOOK NtUserCallOneParam 函数  其第二个参数的值如果等于 0x34 (xp sp3 下面) 那么就是关键重启操作 直接返回失败

4. 最后一点 也就是网上一些所谓强制关机软件的实现原理  使用的是 NtShutdownSystem 函数  网上很多人说不能直接 HOOK 我就没去试了 看了下 直接 HOOK 废掉貌似是对大部分的强制关机软件有效的 。这里绕个弯 ，调用这个函数之前一般都要提权 要获取进程可以关闭系统的权限，好的 我让你获取失败不久行了

   SSDT HOOK NtAdjustPrivilegesToken 函数 判断下要提升的权限是不是 SE_SHUTDOWN_PRIVILEGE  是的话 直接返回失败

好了 进过上述4步处理，现在你唯一关闭系统的办法就是长按机箱电源键了。。

jpg 改 rar