创建进程时指定父进程

最新推荐文章于 2021-04-28 16:56:15 发布
最新推荐文章于 2021-04-28 16:56:15 发布
阅读量3.4k 收藏 15
点赞数 1
分类专栏: 心情杂货铺 文章标签: 进程链 指定父进程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cssxn/article/details/89680759
版权

创建进程时为创建的进程指定父进程,可以用来破坏进程链,加大溯源难度,而且用procmon也抓不到日志


#include "stdafx.h"
#include "windows.h"
#include <intrin.h>

#include <TlHelp32.h>

DWORD GetProcessIDFromName(WCHAR * name)
{
	PROCESSENTRY32 pe32;
	pe32.dwSize = sizeof(pe32);

	HANDLE hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
	if (hProcessSnap == INVALID_HANDLE_VALUE) {
		printf("CreateToolhelp32Snapshot Error!");
		return false;
	}

	BOOL bResult = Process32First(hProcessSnap, &pe32);

	int num(0);

	while (bResult)
	{
		if (_wcsicmp(pe32.szExeFile, name) == 0)
		{
			return pe32.th32ProcessID;
		}
		
		bResult = Process32Next(hProcessSnap, &pe32);
	}

	CloseHandle(hProcessSnap);

	return 0;


}

int _tmain(int argc, _TCHAR* argv[])
{
	CHAR* lpExePath = "c:\\windows\\system32\\calc.exe";

	/* 根据进程名获取任意进程Id */
	DWORD  pid = GetProcessIDFromName(L"explorer.exe");//遍历进程快照获取进程ID

	if (pid == 0)
	{
		printf("Can't find process pid!\n");
		return false;
	}

	HANDLE handle = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid);

	/* 创建启动信息结构体 */
	STARTUPINFOEXA si;

	/* 初始化结构体 */
	ZeroMemory(&si, sizeof(si));

	/* 设置结构体成员 */
	si.StartupInfo.cb = sizeof(si);

	SIZE_T lpsize = 0;

	/* 用微软规定的特定的函数初始化结构体 */
	InitializeProcThreadAttributeList(NULL, 1, 0, &lpsize);

	/* 转换指针到正确类型 */
	char * temp = new char[lpsize];
	LPPROC_THREAD_ATTRIBUTE_LIST AttributeList = (LPPROC_THREAD_ATTRIBUTE_LIST)temp;

	/* 真正为结构体初始化属性参数 */
	InitializeProcThreadAttributeList(AttributeList, 1, 0, &lpsize);

	/* 用已构造的属性结构体更新属性表 */
	if (!UpdateProcThreadAttribute(AttributeList, 0, PROC_THREAD_ATTRIBUTE_PARENT_PROCESS, &handle, sizeof(HANDLE), NULL, NULL))
	{
		printf("%s", "Fail to update attributes");
		return 0;
	}

	si.lpAttributeList = AttributeList;

	PROCESS_INFORMATION pi;
	ZeroMemory(&pi, sizeof(pi));
	CreateProcessAsUserA(NULL, 0, lpExePath, 0, 0, 0, EXTENDED_STARTUPINFO_PRESENT, 0, 0, (LPSTARTUPINFOA)&si, &pi);
	

	DeleteProcThreadAttributeList(AttributeList);
	delete temp;
	

	return 0;
}
FFE4
关注
  • 1
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows创建进程指定进程
被遗弃的庸才博客
11-04 1481
通常情况下,在进程特别多的情况下使用ProcMon抓行为的候都只是简单的看一下该进程进程树,不会去注意系统进程创建进程,这里就有了一个想法,可不可以在创建指定进程,之后在网上找了份代码,也没改直接拿来测试下,发现在提权之后是可以指定进程为session 0的进程 #include<windows.h> #include<stdio.h> BOOL ...
设置创建进程进程
baixiaohei09的专栏
10-24 4101
/* 根据进程名获取任意进程Id */ DWORD pid = GetProcessIDFromName("services.exe");//遍历进程快照获取进程ID/* 已全部权限打开services.exe 进程 */ HANDLE handle = OpenProcess(PROCESS_ALL_ACCESS,FALSE,pid);/* 创建启动信息结构体 */ STARTUPINFOEX
创建进程_指定进程(支持指定系统进程、支持隐藏界面)
05-28
源码现在是可用的,已经没有问题了,正常的。原来是API传址的问题,问题由易友mmmww3解决了,十分感谢!解决接。本贴的源码也可用直接使用(已经改进过)。指定进程来运行进程,仅支持Vista以上的系统。@先锋小七。Tags:创建进程
创建进程指定进程
12-24
创建一个进程指定进程
CreateProcessAsUser之创建进程指定进程与UAC(UAC原理)
热门推荐
挖树
10-15 1万+
UAC UAC(user account control),这里科普下UAC的功能,其实UAC就是大家常见的安装软件或者启动程序的候的出现的全屏变暗的一个提示框,正常的UAC级别下,会检测程序是否有数字签名(可识别程序),以及他的数字签名是否合法,这对于一部分低端的木马具有提醒作用,所以除非特殊情况,不要乱对UCA降权。 UAC运行原理: 在Windows Vista操作系统中。 用户账户主要...
易语言-创建进程_指定进程(支持指定系统进程、支持隐藏界面)
06-25
源码现在是可用的,已经没有问题了,正常的。 原来是API传址的问题,问题由易友mmmww3解决了,十分感谢!解决接 本贴的源码也可用直接使用(已经改进过)。 指定进程来运行进程,仅支持Vista以上的系统。
易语言创建进程_指定进程(支持指定系统进程、支持隐藏界面)-易语言
06-12
源码现在是可用的,已经没有问题了,正常的。 原来是API传址的问题,问题由易友mmmww3 解决了,十分感谢!解决
进程,createprocess
12-10
进程一直在输出“child process is talking at【system time】” 进程一直在输出“parent process is····” 由两个窗口分别显示
C++ 创建进程
10-22
在vc环境下创建进程,显示存活间,平均间,
CreateProcess创建新的进程
jiangxinyu的专栏
03-16 5103
typedef struct _STARTUPINFO{   DWORD cb;            //包含STARTUPINFO结构中的字节数.如果Microsoft将来扩展该结构,它可用作版本控制手段.                        应用程序必须将cb初始化为sizeof(STARTUPINFO)   PSTR lpReserved;      //保留。必须初始化为N
进程中用CreateProcess函数创建一个子进程
weixin_43575859的博客
03-27 1556
在自己的进程创建一个子进程有三种方法,一个是使用函数WinExec,还有一个是使用函数ShellExecute。这两个函数里面后者用的多一点,但是这两个函数创建进程后,子进程就完全和自己的进程脱离开来了,就是说我们创建进程后就不能控制它了。所以这里介绍第三种办法,使用函数CreateProcess CreateProcess invoke CreateProcess,lpAppl...
Windows 进程之四 CreateProcess函数
Bluce的博客
03-31 4055
Windows 进程之四 CreateProcess函数一、CreateProcess 函数1.1、pszImageName 和pszCmdLine 参数 一、CreateProcess 函数 这几天被微软的sfc.exe 这个工具整蒙了,用匿名管道和进程来重定向sfc.exe 没有任何输出,最后实在老同学的帮助下解决了这个问题。本篇只是对《Windows核心编程》的学习,加深印象。 本篇共有7个小节,从CreateProcess定义开始: BOOL CreateProcess( LPCWSTR psz
修改目标进程进程
Richard的专栏
03-10 7416
 来源:http://pjf.blogone.net作者:pjf(jfpan20000@sina.com)  让小师弟测一下1.06的进程规则,他试了试问:“为什么里面有源进程进程两项?不就是指创建目标进程的那个进程,它们不是一个意思吗?”  因为很简单,略略回答了一下,因为好多天没在http://pjf.blogone.net上添东西了,敲下来充数,有点不好意思。   windows下的
linux 指定进程,Linux下如何显示指定进程号的进程
weixin_31880681的博客
04-28 197
树形查看进程, 树形版psps -ahp linux 命令, 默认情况下 bsd 体系没有,ports 装一下功能说明:以树状图显示程序。语  法:pstree [-acGhlnpuUV][-H ][/]补充说明:pstree指令用ASCII字符显示树状结构,清楚地表达程序间的相互关系。如果不指定程序识别码或用户名称,则会把系统启动的第一个程 序视为基层,并显示之后的所有程序。若指定用户名称,便...
应用(指定)进程创建创建Application
tuhuolong的专栏
05-08 681
process for your application/package is created the Application object is that it’s created when the process for your application is created, and it isn’t bound to a particular Activity or Service
创建进程-CreateProcess (二)
钟斌的博客
08-15 4690
STARTUPINFO结构中的cb字段表示该结构的长度,表示子进程继承进程的STARTUPINFO结构。 如果要修改子进程的启动信息,就要先获取到进程的信息,然后再设置STARTUPINFO结构中的相应字段。 如下隐藏启动一个程序: char lpPath[] = "notepad.exe" ; STARTUPINFO si = { sizeof(si) } ; //
关于进程和子进程的关系(UAC 绕过思路)
byteway的专栏
05-11 6459
表面上看,在windows中。如果是a进程创建了b进程,那么a进程就是b进程进程,反之,如果是b创建了a,那么b进程就是a的进程,这是在windows出现以来一直是程序猿们都证实的,但是在在win Vista后面有了一个新安全消息机制,UAC(user account control),这里科普下UAC的功能,其实UAC就是大家常见的安装软件或者启动程序的候的出现的全屏变暗的一个提示框,这
创建进程指定进程
dbyoung的Delphi专栏
10-21 4545
记录一下,以免忘记。 uses Windows, PsAPI, SysUtils; const SE_SECURITY_NAME = 'SeSecurityPrivilege'; PROC_THREAD_ATTRIBUTE_PARENT_PROCESS = $00020000; EXTENDED_STARTUPINFO_PRESENT
posix_spawn创建进程如何继承进程的环境变量
最新发布
06-01
在使用`posix_spawn`函数创建进程,可以通过传递一个`posix_spawnattr_t`类型的对象来指定进程的属性。这个对象中有一个`envp`成员,它是一个字符指针数组,用于指定进程的环境变量。如果想要继承进程的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值