火山引擎-你的AI云

如何实现Windows进程的抗终止能力（如PPL）？探寻合法的用户态进程防护方案与相关API

阿华AIGC实验室

2026-4-2

如何实现Windows进程的抗终止能力（如PPL）？探寻合法的用户态进程防护方案与相关API

刚好在做企业级Windows进程防护相关的项目，对你的问题太有共鸣了——PPL确实是防护天花板，但微软的准入门槛实在太高，咱们普通开发者得从合法可行的方向入手。下面结合我踩过的坑和实操经验给你拆解：

一、用户态就能落地的合法防护方案

用户态方案不需要签名驱动，开发和部署成本低，适合大多数合规场景：

给进程设置严格的访问控制列表（ACL）
这是最直接的用户态手段：修改目标进程的安全描述符，拒绝普通用户甚至管理员组的PROCESS_TERMINATE权限。具体可以用SetSecurityInfo API实现，核心是创建一个拒绝PROCESS_TERMINATE的ACE（访问控制项），添加到进程的DACL中。
注意：别直接拒绝所有用户，至少要保留进程创建者或SYSTEM账户的终止权限，不然你自己都关不掉进程。比如可以只允许SYSTEM账户和当前进程的创建者拥有终止权限。
注册为Windows服务并配置自动恢复
如果你的程序是后台运行的服务类程序，直接注册成Windows服务是最优解。通过sc config命令或者服务控制API（比如ChangeServiceConfigW）设置服务的恢复选项：当服务意外终止时，系统自动重启它。
举个命令行配置例子：sc config YourServiceName failure= reset=86400 actions= restart/5000，意思是服务终止后5秒重启，每天重置失败计数。这种方式完全贴合Windows系统设计，绝对合规。
启用进程缓解策略增强防护
调用RegisterProcessMitigationPolicy API启用进程缓解策略，比如开启动态代码禁止、堆保护等，虽然不能直接阻止终止，但能大幅降低进程被注入恶意代码后被终止的风险。比如配置ProcessMitigationDynamicCodePolicy禁止动态代码生成，让攻击者很难通过注入代码来结束你的进程。
双进程互斥守护（仅限合规场景）
两个进程互相监控对方的运行状态，一旦检测到其中一个被终止，另一个就立即重启它。不过要注意：别做成恶意软件那种“死缠烂打”的守护，仅限合法自保护场景（比如企业级监控软件），而且必须给用户提供手动关闭的入口，符合合规要求。

二、内核驱动层面的正确姿势（针对高防护需求）

你提到之前用PreOp回调过滤PROCESS_TERMINATE没用，大概率是过滤逻辑没做全——Task Manager和taskkill可能通过直接调用NtTerminateProcess或者服务控制管理器来终止进程，得从以下几个方面完善：

精准过滤进程终止请求
用ObRegisterCallbacks注册进程对象的回调，在PreOp阶段不仅要检查调用者的PROCESS_TERMINATE权限，还要验证调用者的身份：
1. 通过PsGetCurrentProcess获取当前调用进程，判断是否是信任的进程（比如你的主进程、系统关键进程）
2. 用SeQueryInformationToken检查调用者令牌的权限，比如是否拥有SeDebugPrivilege，普通用户请求终止直接拒绝；管理员请求则额外判断是否为合法操作
3. 特别注意拦截NtTerminateProcess的内核态调用，别漏了系统级的终止请求
利用系统关键进程标记
调用RtlSetProcessIsCritical可以把进程标记为系统关键进程，一旦这个进程被终止，系统会直接蓝屏。不过这个API需要SeDebugPrivilege权限，而且仅限合法的系统级防护软件使用，别乱用——不然用户误操作导致蓝屏，投诉找上门可就麻烦了。
过滤服务控制终止请求
如果你的进程是Windows服务，还要在驱动中过滤服务控制的IRP，比如拦截SERVICE_CONTROL_STOP请求，只允许特定账户或信任进程发送停止指令。

三、关于PPL的替代与合法申请

PPL（Protected Process Light）确实是防护能力最强的，但微软只对特定类型的软件开放（比如杀毒软件、加密软件、系统更新服务）。如果你的软件属于这类合规场景，可以通过微软的合作伙伴渠道申请专用签名，之后就能用PsSetProcessProtection API配置进程的PPL保护级别。