问像杀毒软件一样进行自我防御

EN

停止进程是通过调用TerminateProcess (Win32接口)完成的。默认情况下，不可能终止在与发出TerminateProcess调用的进程不同的安全上下文中运行的进程。

可以(使用服务控制管理器)配置运行服务的用户模式，以便在有人杀死服务时重新启动服务。但是，如果您不希望从服务控制管理器界面或使用"net stop“命令停止服务，则可以在创建服务时适当设置SERVICE_STATUS结构的"dwControlsAccepted”字段。

另外，考虑到可以通过先前启用调试特权来结束任何进程，即使它是服务或系统进程，也要注意这一点。此权限分配给管理员，并在访问令牌中禁用。任务管理器不使用调试权限，而KILL实用程序(随windows资源工具包提供)使用。

您观察到的情况对于服务应用程序是常见的，即您需要为此提供一个服务。

防病毒软件通常使用几个内核模式驱动程序(网络过滤器、文件系统过滤器等)，这些驱动程序具有检查用户模式进程是否可用的附加功能，如果没有，则重新启动它(它们还控制服务的执行状态)。

此外，服务还可以监视UI进程的存在并重新启动它。而UI进程又可以检查服务的状态。并行停止这两个进程是相当棘手的(尽管可能)，因此此方案也可以工作。

我猜你也会遇到同样的架构。

但总的来说，rootkits绕过了所有这些技巧，rootkits是对现代计算机最大的威胁。