防止驱动被卸载的方法有以下几种:
实时监控和自动修复
编写一个启动非常早的驱动程序,在驱动启动后检测注册表,将与该驱动相关的注册表项屏蔽,然后自动加载filter driver,并在class地方自动加上对应的键。这样,当相关驱动尝试启动时,会自动进行filter操作,从而防止被卸载。
修改MBR或Boot Sector
编写一个MBR(主引导记录)或Boot Sector上的real mode程序,修改ntoskrnl.exe的PE.Entry,这样可以实现一些非常规的操作,使驱动程序几乎无法被卸载。
隐藏卸载程序
找到软件的卸载程序文件(通常以uninst.exe命名),将其移动到其他位置并隐藏起来。这样,在尝试卸载时,系统会提示找不到该文件,从而无法卸载。
使用第三方软件
利用第三方软件如腾讯电脑管家等,其软件管理功能可以彻底卸载软件,即使某些程序有守护进程也会被清理掉。
修改用户权限
将软件设置为设备管理器的一部分,并通过设备管理器来管理其权限,使其无法被普通用户卸载。这需要一定的技术操作,例如启用内置的管理员账户或修改用户权限设置。
添加说明和加壳
在驱动程序说明中加入提示,告知杀毒软件可能误报,建议将其加入排除列表或白名单。另外,可以在开发驱动时增加加壳工序,以防止被杀毒软件误报,但这可能会增加开发成本。
建议
选择合适的方法:根据具体需求和操作能力选择合适的方法。对于普通用户,使用第三方软件或修改用户权限可能更为简单有效。
注意风险:修改系统文件或注册表存在一定风险,建议在进行操作前备份重要数据,并确保了解所做更改的影响。
定期更新:即使采取了防卸载措施,也应定期检查和更新这些方法,以应对新的安全威胁和软件更新。