JXCraft(阻止目标进程执行工具)

JXCraft(阻止目标进程执行工具)是一个工具可以限制您的电脑运行某些程序。如果你不想让你的电脑运行某些程序，就用这个JXCraft(阻止目标进程执行工具)把指定的文件或者程序放到限制列表里。

Basic 简介

最近，为了确保Windows服务器中web服务器的安全，不得不阻止php-cgi.exe执行任何其他程序。找了半天也找不到合适的软件来限制(PS:可能是他找的姿势不对，也可能是市面上没有这种功能 工具系统。自带的组策略弹匣很不舒服，第一次配置后重启才能生效)，所以他开发了这个工具(接口和驱动都有

软件特色

在指定路径拦截程序执行。

Emmmm有很多用途，比如手动杀毒或者防止外部程序或者权限提升通过像我这样的容器中的代码执行。

在具体的使用场景中看到自己的需求。

施用方式

小路

Unicode编码和存储之间没有特殊字符匹配，如果没有特殊字符匹配，可以使用通配符。

*代表任何字符(可以为空)

？表示单个字符(不能为空)

目标

您可以选择当前或父。

当前，匹配该路径的程序被禁止/允许执行。

父代代表与路径匹配的进程，禁止/允许创建其他进程(是相对于已创建的进程)的父代进程。

比如在界面截图中。

第三条规则禁止当前的C:WindowsSystem32calc.exe，即禁止运行Windows计算器(calc.exe)(win 10的计算器文件名不是calc.exe)。

第四个规则禁止父C: Windows System32 taskmgr.exe，也就是禁止Windows任务管理器(taskmgr.exe)运行任何更多的程序(Win10的任务管理器通知svchost.exe创建一个新的进程父进程它本身不是任务管理器)。

操作

你可以选择禁止或允许。

这个就不用说了。

优先

体现在规则列表中的顺序，右键菜单可以在规则列表窗口中上下移动来改变优先级。

比如在界面截图中。

第一个规则允许当前的C:WindowsSystem32mstsc.exe，第四个规则禁止父C: Windows System32 taskmgr.exe。

结果是，Windows远程桌面(mstsc.exe)可以在Windows任务管理器(taskmgr.exe)中运行，但不能运行其他程序。

部署

在服务中可以安装/启动/停止/卸载驱动，驱动可以设置为自动启动(启动选项是自动启动驱动，而不是自动启动界面程序)。

需要注意的事项

这个软件使用NT驱动拦截进程创建，而不是检测进程启动然后在R3层查杀(万一病毒之类互相保护或者在查杀进程之前执行恶意代码，那就麻烦了，end 进程可能会失败导致泄露)。

所以会加载同一个目录下的X86.sys或者X64.sys(自动加载操作系统位数对应的版本)。由于64位Win7驱动程序必须在加载前进行数字签名，因此它是用吊销证书签名的。如果您查杀软件并举报病毒，请选择是否使用。