创建进程时指定其父进程

最新推荐文章于 2024-11-01 20:05:40 发布
最新推荐文章于 2024-11-01 20:05:40 发布
阅读量4.6k 收藏 1
点赞数 1
文章标签: thread list security function string access
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dbyoung/article/details/6892721
版权

记录一下,以免忘记。

uses Windows, PsAPI, SysUtils;

const
  SE_SECURITY_NAME                     = 'SeSecurityPrivilege';
  PROC_THREAD_ATTRIBUTE_PARENT_PROCESS = $00020000;
  EXTENDED_STARTUPINFO_PRESENT         = $00080000;

type
  PPROC_THREAD_ATTRIBUTE_LIST = Pointer;

  STARTUPINFOEX = packed record
    StartupInfo: TStartupInfo;
    lpAttributeList: PPROC_THREAD_ATTRIBUTE_LIST;
  end;

  { WinVista系统之上才有的几个API }

function InitializeProcThreadAttributeList(lpAttributeList: PPROC_THREAD_ATTRIBUTE_LIST; dwAttributeCount, dwFlags: DWORD; var lpSize: Cardinal): Boolean; stdcall;
  external 'kernel32.dll';

procedure UpdateProcThreadAttribute(lpAttributeList: PPROC_THREAD_ATTRIBUTE_LIST; dwFlags, Attribute: DWORD; var pValue: DWORD; cbSize: Cardinal; pPreviousValue: Pointer;
  pReturnSize: PCardinal); stdcall; external 'kernel32.dll';

procedure DeleteProcThreadAttributeList(lpAttributeList: PPROC_THREAD_ATTRIBUTE_LIST); stdcall; external 'Kernel32.dll';

{ 提升进程权限 }
function EnableDebugPrivilege(PrivName: string; CanDebug: Boolean): Boolean;
var
  TP    : Windows.TOKEN_PRIVILEGES;
  Dummy : Cardinal;
  hToken: THandle;
begin
  OpenProcessToken(GetCurrentProcess, TOKEN_ADJUST_PRIVILEGES, hToken);
  TP.PrivilegeCount := 1;
  LookupPrivilegeValue(nil, pchar(PrivName), TP.Privileges[0].Luid);
  if CanDebug then
    TP.Privileges[0].Attributes := SE_PRIVILEGE_ENABLED
  else
    TP.Privileges[0].Attributes := 0;
  Result                        := AdjustTokenPrivileges(hToken, False, TP, SizeOf(TP), nil, Dummy);
  hToken                        := 0;
end;

function GetProcessIDFromProcessName(const ProcessName: WideString): DWORD;
var
  hProcesss   : array [0 .. 100] of DWORD;
  I, J, Count : Cardinal;
  pList       : array of DWORD;
  hProcess    : Cardinal;
  PathFileName: array [0 .. 255] of char;
begin
  Result := 0;
  EnumProcesses(@hProcesss, SizeOf(hProcesss), Count);
  SetLength(pList, Count div SizeOf(DWORD));
  Move(hProcesss, pList[0], Count);

  for I := low(pList) to High(pList) do
  begin
    if (pList[I] = 0) or (pList[I] = 4) then
    begin
      Result := 0;
      Continue;
    end;
    hProcess := OpenProcess(PROCESS_QUERY_INFORMATION or PROCESS_VM_READ, False, pList[I]);
    GetModuleFileNameEx(hProcess, 0, PathFileName, 255);
    CloseHandle(hProcess);
    J := Pos(LowerCase(ProcessName), LowerCase(PathFileName));
    if J <= 0 then
      Continue;
    Result := pList[I];
    Exit;
  end;
end;

procedure CreateProcessOnParentProcess(ExeName: string);
var
  pi         : TProcessInformation;
  si         : STARTUPINFOEX;
  cbAListSize: Cardinal;
  pAList     : PPROC_THREAD_ATTRIBUTE_LIST;
  hParent    : Cardinal;
begin
  { 提升权限 }
  EnableDebugPrivilege(SE_SECURITY_NAME, True);

  { 进程结构初始化 }
  FillChar(si, SizeOf(si), 0);
  si.StartupInfo.cb          := SizeOf(si);
  si.StartupInfo.dwFlags     := STARTF_USESHOWWINDOW;
  si.StartupInfo.wShowWindow := SW_SHOWDEFAULT;
  FillChar(pi, SizeOf(pi), 0);

  cbAListSize := 0;
  InitializeProcThreadAttributeList(nil, 1, 0, cbAListSize);
  pAList := HeapAlloc(GetProcessHeap(), 0, cbAListSize);
  InitializeProcThreadAttributeList(pAList, 1, 0, cbAListSize);
  hParent := OpenProcess(PROCESS_ALL_ACCESS, False, GetProcessIDFromProcessName('explorer.exe'));
  UpdateProcThreadAttribute(pAList, 0, PROC_THREAD_ATTRIBUTE_PARENT_PROCESS, hParent, 4, nil, nil);
  si.lpAttributeList := pAList;

  { 创建进程 }
  if CreateProcess(PWideChar(ExeName), nil, nil, nil, False, EXTENDED_STARTUPINFO_PRESENT, nil, nil, si.StartupInfo, pi) then
  begin
    CloseHandle(pi.hProcess);
    CloseHandle(pi.hThread);
  end;

  DeleteProcThreadAttributeList(pAList);
  HeapFree(GetProcessHeap(), 0, pAList);
end;

我这里直接指定了父进程是explorer.exe,当然你可以修改了。


dbyoung
关注
Windows创建进程指定进程
被遗弃的庸才博客
11-04 1647
通常情况下,在进程特别多的情况下使用ProcMon抓行为的候都只是简单的看一下该进程进程树,不会去注意系统进程创建进程,这里就有了一个想法,可不可以在创建指定进程,之后在网上找了份代码,也没改直接拿来测试下,发现在提权之后是可以指定进程为session 0的进程 #include<windows.h> #include<stdio.h> BOOL ...
CreateProcessAsUser之创建进程指定进程与UAC(UAC原理)
热门推荐
挖树
10-15 1万+
UAC UAC(user account control),这里科普下UAC的功能,其实UAC就是大家常见的安装软件或者启动程序的候的出现的全屏变暗的一个提示框,正常的UAC级别下,会检测程序是否有数字签名(可识别程序),以及他的数字签名是否合法,这对于一部分低端的木马具有提醒作用,所以除非特殊情况,不要乱对UCA降权。 UAC运行原理: 在Windows Vista操作系统中。 用户账户主要...
创建进程指定进程
12-24
创建一个进程指定其父进程
创建进程指定进程
Sven的忘却日记
04-29 3497
创建进程创建进程指定进程,可以用来破坏进程链,加大溯源难度,而且用procmon也抓不到日志 #include "stdafx.h" #include "windows.h" #include <intrin.h> #include <TlHelp32.h> DWORD GetProcessIDFromName(WCHAR * name) { PROCESS...
创建进程_指定进程(支持指定系统进程、支持隐藏界面)
05-28
源码现在是可用的,已经没有问题了,正常的。原来是API传址的问题,问题由易友mmmww3解决了,十分感谢!解决链接。本贴的源码也可用直接使用(已经改进过)。指定进程来运行进程,仅支持Vista以上的系统。@先锋小七。Tags:创建进程
创建进程进程的父进程指定进程 附 一个提权函数 一个进程名寻进程ID函数
whitehack的专栏
12-16 5277
#include #include #include #include BOOL EnablePrivilege( LPCTSTR name ) {//提升进程权限 BOOL bRet=FALSE; //获得指定的权限值 TOKEN_PRIVILEGES priv = { 1, { 0, 0, SE_PRIVILEGE_ENABLED } }; BOOL bLookup = LookupPrivilegeValue( NULL, name,
易语言创建进程_指定进程(支持指定系统进程、支持隐藏界面)-易语言
06-12
在这个特定的案例中,“易语言创建进程_指定进程”指的是使用易语言编写的一个程序,该程序能够启动的子进程,并且可以指定其父进程,甚至支持隐藏界面功能。这对于系统管理和自动化任务执行具有重要意义。 ...
获取父进程的ID.获取父进程ID的代码 NtQueryInformationProces
03-20
NtQueryInformationProcess是Windows NT内核提供的一个低级函数,它允许我们查询关于指定进程的各种信息,包括其父进程ID。这个API比通常使用的GetProcessInformation更强大,因为它提供了更多的进程信息选项。 ...
VC创建进程CreateProcess的方法
09-03
本篇文章将深入探讨如何在VC中使用`CreateProcess`函数创建进程,并解析其相关参数和操作技巧。 `CreateProcess`函数的原型如下: ```cpp BOOL CreateProcess( _In_opt_ LPCTSTR lpApplicationName, _Inout_opt_...
设置创建进程的父进程
baixiaohei09的专栏
10-24 4151
/* 根据进程名获取任意进程Id */ DWORD pid = GetProcessIDFromName("services.exe");//遍历进程快照获取进程ID/* 已全部权限打开services.exe 进程 */ HANDLE handle = OpenProcess(PROCESS_ALL_ACCESS,FALSE,pid);/* 创建启动信息结构体 */ STARTUPINFOEX
易语言-创建进程_指定进程(支持指定系统进程、支持隐藏界面)
06-25
源码现在是可用的,已经没有问题了,正常的。 原来是API传址的问题,问题由易友mmmww3解决了,十分感谢!解决链接 本贴的源码也可用直接使用(已经改进过)。 指定进程来运行进程,仅支持Vista以上的系统。
易语言创建进程
07-17
易语言创建进程源码,创建进程,创建进程
进程中用CreateProcess函数创建一个进程
weixin_43575859的博客
03-27 1661
在自己的进程创建一个进程有三种方法,一个是使用函数WinExec,还有一个是使用函数ShellExecute。这两个函数里面后者用的多一点,但是这两个函数创建进程后,子进程就完全和自己的进程脱离开来了,就是说我们创建进程后就不能控制它了。所以这里介绍第三种办法,使用函数CreateProcess CreateProcess invoke CreateProcess,lpAppl...
VC6.0下创建进程
XQQ524148626的专栏
12-08 2010
#include #include using namespace std; int main() { STARTUPINFO si; //FILETIME f1,f2,f3,f4; int n=1; memset(&si,0,sizeof(STARTUPINFO)); si.cb=sizeof(STARTUPINFO); si.dwFla
API拦截应用,改变一个进程的父进程
qq112358hai198771的专栏
12-24 2357
上一篇介绍了,使用API拦截劫持网址,这篇介绍如何在创建进程指定其父进程。 我们使用PCHunter工具可以看到,大多数的进程都是由explorer.exe进程创建的,也就是桌面进程。 实际上explorer是由登录进程创建的。 从下面这张图中我们可以看出,explorer创建了KuGou等进程。 那我们要做的一件事情就是,我们的进程A创建一个进程B,然后A在创建B的
一个进程调用fork函数创建一个的子进程
qq_44687693的博客
12-05 2436
fork函数中最重要的是:fork()函数被调用一次,却会被返回两次,返回两次的区别,子进程返回的是0,而父进程返回的是子进程的ID。若调用错误则返回-1。 1.Fork.c 1.Fork.c #include "csapp.h" /* $begin fork */ /* $begin wasidefork */ int main(int argc, char *argv[]) { ...
伪造父进程的另一种方式
Sven的忘却日记
10-31 1771
创建任意进程,父进程explorer.exe #include "stdafx.h" #include <windows.h> #include <shlwapi.h> #include <shlobj.h> #pragma comment(lib, "shlwapi.lib") // use the shell view for the desktop...
windows核心编程---进程
x13262608581的博客
09-26 1536
进程-进程组成 1.一个内核对象,保存进程统计信息,操作系统用它来管理进程。 2.一个地址空间,其中包含所有可执行文件或DLL模块的代码和数据。还报错动态分配内存。-两类应用程序 GUI,CUI用Microsoft Visual Studio创建一个应用程序项目,集成开发环境会设置各种链接器开关,使链接器将子系统的正确类型嵌入最终生成的可执行文件中。对CUI,链接器开关是 /SUBSYSTE
C++模拟实现list
最新发布
Talon的博客
11-01 1012
C++模拟实现list 1、成员变量 2、迭代器 3、insert函数 4、erase函数 5、pop_back、push_front、pop_front函数 6、size和clear函数 7、析构函数 8、拷贝构造函数 9、赋值运算符重载 完整代码(包含测试代码)
易语言实现指定进程创建隐藏子进程
最后,压缩包子文件的文件名称“创建进程_指定进程”直接反映了这个源码的功能,即创建一个进程,并且可以指定另一个进程作为其父进程。 在深入讨论这个知识点之前,我们来回顾一下Windows进程管理的基础知识。在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

dbyoung

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值