ring3下利用WMI监视进程创建(vc版)

最新推荐文章于 2021-07-23 19:38:18 发布
最新推荐文章于 2021-07-23 19:38:18 发布
阅读量4.6k 收藏 5
点赞数
文章标签: hex null include server c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zwfgdlc/article/details/6613605
版权 
#include "stdafx.h"
#define _WIN32_DCOM
#include <iostream>
using namespace std;
#include <comdef.h>
#include <Wbemidl.h>

# pragma comment(lib, "wbemuuid.lib")

int main(int argc, char **argv)
{
	HRESULT hres;

	hres =  CoInitializeEx(0, COINIT_MULTITHREADED); 
	if (FAILED(hres))
	{
		cout << "Failed to initialize COM library. " 
			<< "Error code = 0x" 
			<< hex << hres << endl;
		return 1;
	}

	IWbemLocator *pLoc = 0;
	HRESULT hr;

	hr = CoCreateInstance(CLSID_WbemLocator, 0, 
		CLSCTX_INPROC_SERVER, IID_IWbemLocator, (LPVOID *) &pLoc);

	if (FAILED(hr))
	{
		cout << "Failed to create IWbemLocator object. Err code = 0x"
			<< hex << hr << endl;
		return hr;     // Program has failed.
	}

	IWbemServices *pSvc = 0;

	bstr_t strNetworkResource("ROOT\\CIMV2");

	hr = pLoc->ConnectServer(
		strNetworkResource, 
		NULL, NULL, 0, NULL, 0, 0, &pSvc);

	if (FAILED(hr))
	{
		cout << "Could not connect. Error code = 0x" 
			<< hex << hr << endl;
		pLoc->Release();
		CoUninitialize();
		return hr;      // Program has failed.
	}

	cout << "Connected to WMI" << endl;

	// Set the proxy so that impersonation of the client occurs.
	hr = CoSetProxyBlanket(pSvc,
		RPC_C_AUTHN_WINNT,
		RPC_C_AUTHZ_NONE,
		NULL,
		RPC_C_AUTHN_LEVEL_CALL,
		RPC_C_IMP_LEVEL_IMPERSONATE,
		NULL,
		EOAC_NONE
		);

	if (FAILED(hr))
	{
		cout << "Could not set proxy blanket. Error code = 0x" 
			<< hex << hr << endl;
		pSvc->Release();
		pLoc->Release();     
		CoUninitialize();
		return hr;
	}

	
	bstr_t strLang("WQL");
	//监视taskmgr.exe进程创建
	bstr_t strQuery("SELECT * FROM __InstanceCreationEvent WITHIN 1 WHERE TargetInstance ISA 'Win32_Process' AND TargetInstance.Name = 'taskmgr.exe'"); 
	IEnumWbemClassObject* pResult = NULL;

	hr = pSvc->ExecNotificationQuery(strLang, strQuery, WBEM_FLAG_FORWARD_ONLY | WBEM_FLAG_RETURN_IMMEDIATELY, NULL, &pResult);
	if(SUCCEEDED(hr))
	{
		do{
			IWbemClassObject* pObject = NULL;
			ULONG lCnt = 0;
			hr = pResult->Next(WBEM_INFINITE, 1, &pObject, &lCnt);
			if(SUCCEEDED(hr) && pObject)
			{
				cout<<"taskmgr.exe进程已创建"<<endl;
				break; //退出
			}
		}while(true);
	}



	pSvc->Release();
	pLoc->Release();     
	CoUninitialize();
	CoUninitialize();

	return 0;   // Program successfully completed.
}


zwfgdlc
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Windows Ring3层注入——CreateProcess劫持进程创建注入(三)
qq_38493448的博客
01-16 1361
Windows Ring3层注入——CreateProcess劫持进程创建注入(三)CreateProcess劫持进程创建注入原理劫持进程创建注入好处CreateProcess劫持进程创建注入函数原型**CreateProcess**函数原型CreateProcess劫持进程创建注入步骤CreateProcess劫持进程代码示例 CreateProcess劫持进程创建注入原理 劫持进程创建注入:利...
易语言利用WMI对象实现进程监控
08-17
利用WMI对象实现进程监控 系统结构:进程监控_启动,进程监控_停止,进程监控_主线程,CreateThread,TerminateThread,CoInitialize,CoUninitialize, ======窗口程序集1 | | | |------ _按钮1_被单击 | | | |------ _按
监视并控制进程创建
商少
07-31 1056
我们都知道,进程创建会涉及比较多的行为,从开始的创建进程空间,创建句柄表等内核功能,之后映射可执行文件、主线程的运行,如果我们可以在其中的一个位置做手脚,进程创建应该就会失败。这里我们使用的是系统回调函数的方法。 基本函数。 // 可以通知我们进程创建 NTSTATUS PsSetCreateProcessNotifyRoutine( IN PCREATE_PROC
进程创建、终止、监控、执行
xiupong的博客
07-23 374
进程前言一、进程创建 fork()/vfork()1、获得进程id2、fork()3、vfork()二、进程的终止 exit()/_exit()1、正常结束进程 exit()2、结束进程执行 _exit()3、exit()与_exit()区别三、监控子进程 wait()/waitpid()1、wait()2、waitpid()四、程序的执行 exec()族1、exec()族2、system()五、僵尸进程和孤儿进程1、概念2、危害与解决方法六、守护进程与后台进程 前言 fork创建一个子进程,该.
利用WMI实现ring3进程监控 - vc
weixin_34375251的博客
04-24 212
为什么80%的码农都做不了架构师?>>> ...
WMI技术介绍
fincakkk的博客
06-19 628
一、定义何为WMIWMI(Windows Management Instrumentation,Windows 管理规范)是一项核心的 Windows 管理技术;用户可以使用 WMI 管理本地和远程计算机。二、WMI的介绍Windows 2K/XP和Windows 98 都支持WMI;如果为NT 4.0和Windows 95加上了 Service Pack 4或更高本,NT 4.0和Win95也...
64位内核开发第十二讲,进程监视,ring3跟ring0事件同步.
weixin_30315435的博客
06-09 280
一丶同步与互斥详解,以及实现一个进程监视软件. 1.用于线程同步的 KEVENT 事件很简单分别分为 事件状态. 以及事件类别. 事件状态: 有信号 Signaled 无信号 Non-signaled 事件类别 自动恢复 Synchronization 自动设置 不自动恢复. Notification 手动设置 事件的创建函数 ** IoCreateNotificationEvent() ** *...
易语言源码利用WMI对象实现进程监控.rar
02-16
本压缩包“易语言源码利用WMI对象实现进程监控.rar”包含了一个使用易语言编写的程序,该程序利用Windows Management Instrumentation(WMI)对象来监控系统中的进程WMI是微软提供的一种系统管理接口,它允许...
用VBS实现监视进程创建与删除的代码
09-05
微软脚本中心里的例子,用到了WMI事件,抄下来备查。
利用WMI对象实现进程监控.zip易语言项目例子源码下载
03-22
在本项目"利用WMI对象实现进程监控"中,我们将探讨如何使用易语言来通过Windows Management Instrumentation(WMI)技术进行系统监控,特别是对进程的监控。 **WMI是什么?** WMI是微软提供的一个标准接口,允许...
利用WMI对象实现进程监控-易语言
06-13
利用WMI对象实现进程监控
监视进程创建代码
09-08
可以监视新的进程打开,完整代码,已经经过本人的测试。C++代码其它语言可以翻译或者编译成DLL调用。
监视进程创建 实现 源码
01-15
通过修改windows核心编程 22章的 那个例子 hook CreateProcess 函数 实现监控系统进程创建 XP 系统有效
WMI技术介绍和应用——接收事件
方亮的专栏
01-19 9168
        时隔两三年,再次更新WMI系列博文。好在功能在三年前就已经实现了,现在只要补充些实例即可。         之前介绍的基本都是查询静态数据,而本文将要介绍非常有意思的事件接收功能。(转载请指明出于breaksoftware的csdn博客)     监控进程创建和死亡         首先提一个问题,如何监控系统创建进程?比如有些软件会监控竞品是否创建,如果创建了就通知用户“不...
WMI监视进程启动
baggiowangyu的专栏
12-08 5114
// WMIProcessCreateMonitor.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include #include #include #include using namespace std; #pragma comment(lib, "wbemuuid.lib") #pragma comment(li
利用Powershell进行监控程序,超时自动关闭
weixin_34166847的博客
01-04 705
由于系统需要,需要将一个应用程序监控起来,如果这个应用程序启动超过60秒,则自动将其关闭,在国外的网站上发现了这个PS,试了一下,可以满足需求。Register-WmiEvent -Query"SELECT * FROM __InstanceCreationEvent WITHIN 60 WHERE TargetInstanceisa 'Win32_Process'" -So...
知识总结---漏洞原理及防护篇
糖小喵
05-06 1699
XSS XSS原理 反射型 用户提交的数据中可以构造代码来执行,从而实现窃取用户信息等攻击。需要诱使用户“点击”一个恶意链接,才能攻击成功 储存型 存储型XSS会把用户输入的数据“存储”在服务器端。这种XSS具有很强的稳定性。 DOM型 通过修改页面的DOM节点形成的XSS,称之为DOM Based XSS。 DOM型和反射型的区别 反射型XSS:通过诱导用户点击,我们构造好的恶...
WMI技术介绍和应用——Event Provider
方亮的专栏
02-08 3359
        在《WMI技术介绍和应用——Instance/Method Provider》一文中,我们介绍了Instance和Method Provider的编写方法。本文我们将介绍更有意思的“事件提供者”。在《WMI技术介绍和应用——事件通知》中,我们曾经提到事件是分为两种:intrinsic event和extrinsic event。这两种事件提供者在编写上也非常类似,我们先以extri...
wmiproviderhost进程能关吗
最新发布
09-19
3. 检查第三方软件冲突:有时,某些第三方软件可能与wmiproviderhost进程发生冲突,导致异常行为。你可以尝试禁用或卸载最近安装的第三方软件,以查看是否对问题有影响。 总而言之,wmiproviderhost进程是一个重要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值