c++ 进程守护之打不死的小强

最新推荐文章于 2024-05-15 07:27:14 发布
最新推荐文章于 2024-05-15 07:27:14 发布
阅读量6.3k 收藏 4
点赞数
分类专栏: c/c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/earbao/article/details/8683687
版权 
//进程守护之打不死的小强          云守护
#include <windows.h>
#include <tchar.h>
#include <stdio.h>
#include "PSAPI.H"
#pragma comment( lib, "PSAPI.LIB" )

HANDLE	CreateRemoteThreadProc(char* ProcessName);
DWORD	WINAPI WatchThread(LPVOID lparam);
DWORD	WINAPI remote(LPVOID pvparam);
DWORD	processtopid(char *processname);
BOOL	EnablePriv();
//先打开notepad,在运行本程序

typedef struct _remoteparameter
{
	DWORD		rpWaitForSingleObject;
	DWORD		rpOpenProcess;
	DWORD       rpWinExec;
	DWORD	    rpProcessPID;           
	HANDLE		rpProcessHandle;
	char	    path[MAX_PATH];
}REMOTEPARAM;

int main(int argc, char* argv[])
{
	HANDLE RemoteThreadHandle;
	HANDLE LocateThreadHandle;
	EnablePriv();
	RemoteThreadHandle=CreateRemoteThreadProc("notepad.exe");
	//本地线程循环注入notepad
	LocateThreadHandle=CreateThread(NULL,NULL,WatchThread,(LPVOID)RemoteThreadHandle,NULL,NULL);
	WaitForSingleObject(LocateThreadHandle,INFINITE);

	WaitForSingleObject(RemoteThreadHandle,INFINITE);//线程等待,循环等待notepad的远程线程执行完毕。即 notepad关闭本程序才关闭
	return 0;
}
//创建远程线程,线程注入
HANDLE CreateRemoteThreadProc(char* ProcessName)
{
		HANDLE	ThreadHandle;
		char	FilePath[MAX_PATH];

		GetModuleFileName(NULL,FilePath,MAX_PATH);//得到文件所在路径
		printf("%s\n",FilePath);
		//根据进程名获取进程ID
		int procID=processtopid(ProcessName);
		printf("The process pid is %d\n",procID);
		HINSTANCE         hkernel32;
		HANDLE            rphandle;
		char             *remotethr;
		char             *remotepar;
		int               cb;
		//根据ID打开notepad的进程空间
   		rphandle=OpenProcess(PROCESS_CREATE_THREAD |  PROCESS_VM_OPERATION  | 
			PROCESS_VM_WRITE, FALSE,procID);
		if(rphandle==NULL)
		{
	   		printf("Open Remote Process  is Error\n");
		}
		else
		{
			printf("open process is ok\n");
		}

		/*****************************************************************/
						/*将远程线程函数代码拷入目标进程*/
		/*****************************************************************/
		cb=sizeof(TCHAR)*4*1024;
		//在notepad进程中分配空间,存储函数remote
		remotethr=(PTSTR)VirtualAllocEx(rphandle,NULL,cb,MEM_COMMIT,PAGE_EXECUTE_READWRITE); 
		if(remotethr==NULL)
		{
			printf("VirtualAllocEx for Thread Error\n");
			CloseHandle(rphandle);       
		}
		else
			printf("VirtualAllocEx is ok\n");
		//往notepad空间中写入数据指针remote指向的数据,大小为cb
		if(WriteProcessMemory(rphandle,remotethr,(LPVOID)remote,cb,NULL)==FALSE)
		{
			printf("WriteProcessMemory for Thread Error\n");
			CloseHandle(rphandle);
		}
		else
			printf("WriteProcessMemory is ok\n");

		/*****************************************************************/
						/*将远程线程函数参数拷入目标进程*/
						/*这里需要重定位远程线程需要的API*/
		/*****************************************************************/
		REMOTEPARAM rp;
		memset((char*)&rp,0,sizeof(rp));

		hkernel32=GetModuleHandle("kernel32.dll");

		if(hkernel32==NULL)
		{
			printf("hKernel32 is Error\n");
		}
		//通过让目标进程执行OpenProcess,WinExec,WaitForSingleObject,函数重新打开本程序

		rp.rpProcessPID			=GetCurrentProcessId();
		rp.rpOpenProcess		=(DWORD)GetProcAddress(hkernel32,"OpenProcess");
		rp.rpWinExec			=(DWORD)GetProcAddress(hkernel32,"WinExec");
		rp.rpWaitForSingleObject=(DWORD)GetProcAddress(hkernel32,"WaitForSingleObject");
		_tcscpy(rp.path,FilePath);	
		cb=sizeof(char)*sizeof(rp);
		//rphandle指向notepad进程,分配空间,存储参数
		remotepar=(PTSTR)VirtualAllocEx(rphandle,NULL,cb,MEM_COMMIT,PAGE_READWRITE);
		if(remotepar==NULL)
		{
			printf("VirtualAllocEx for Parameter Error\n");
			CloseHandle(rphandle);
		}
		//往notepad进程写入传给remote的参数
		if(WriteProcessMemory(rphandle,remotepar,(LPVOID)&rp,cb,NULL)==FALSE)
		{
			printf("WriteProcessMemory for Parameter Error\n");
			CloseHandle(rphandle);
		}

		/*****************************************************************/
						/*将远程线程注入目标进程*/
		/*****************************************************************/
		//在noetpad进程中创建新线程执行remote函数,参数为remotepar,返回线程句柄
		ThreadHandle=CreateRemoteThread(rphandle,NULL,0,(LPTHREAD_START_ROUTINE)remotethr,(LPVOID)remotepar,0,NULL);
		
		if(ThreadHandle==NULL)
		{
			printf("CreateRemotThreadHandle Error\n");
			CloseHandle(rphandle);
		}
		else
			printf("CreateRemotThreadHandle is ok\n");

		return ThreadHandle;
}
//获取进程ID
DWORD processtopid(char *processname)
{
	DWORD    lpidprocesses[1024],cbneeded,cprocesses;
	HANDLE   hprocess;
	HMODULE  hmodule;
	UINT     i;
	TCHAR    normalname[MAX_PATH]=("UnknownProcess");
    
	if(!EnumProcesses(lpidprocesses,sizeof(lpidprocesses),&cbneeded))
	{
		return -1;  
	}
	cprocesses=cbneeded/sizeof(DWORD);
	for(i=0;i<cprocesses;i++)
	{
		hprocess=OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ,FALSE,lpidprocesses[i]);
		if(hprocess)
		{
			if(EnumProcessModules(hprocess,&hmodule,sizeof(hmodule),&cbneeded))
			{
				GetModuleBaseName(hprocess,hmodule,normalname,sizeof(normalname));
				if(!strcmp(normalname,processname))  
				{
					CloseHandle(hprocess);
					return (lpidprocesses[i]);
				}
			}
		}
	}
	CloseHandle(hprocess);
	return 0;
}
//提升进程权限
BOOL EnablePriv()
{
	HANDLE hToken;
	if ( OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES,&hToken) )
	{
		TOKEN_PRIVILEGES tkp;
		
		LookupPrivilegeValue( NULL,SE_DEBUG_NAME,&tkp.Privileges[0].Luid );	//修改进程权限
		tkp.PrivilegeCount=1;
		tkp.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED;
		AdjustTokenPrivileges( hToken,FALSE,&tkp,sizeof tkp,NULL,NULL );	//通知系统修改进程权限
	}
		return 0;
}
//远程线程要执行的函数
DWORD WINAPI remote(LPVOID pvparam)
{
	REMOTEPARAM *rp=(REMOTEPARAM*)pvparam;
	
	typedef UINT			(WINAPI *EWinExec)				(LPCSTR, UINT);
	typedef HANDLE			(WINAPI *EOpenProcess)			(DWORD, BOOL, DWORD);
	typedef DWORD			(WINAPI *EWaitForSingleObject)	(HANDLE, DWORD);
	
	
	EWinExec				tWinExec;
	EOpenProcess			tOpenProcess;
	EWaitForSingleObject	tWaitForSingleObject;
	
	
	tOpenProcess			=(EOpenProcess)rp->rpOpenProcess;
	tWaitForSingleObject	=(EWaitForSingleObject)rp->rpWaitForSingleObject;
	tWinExec				=(EWinExec)rp->rpWinExec;
	
	//	重新打开本进程ID,使本进程可以访问
	rp->rpProcessHandle=tOpenProcess(PROCESS_ALL_ACCESS,FALSE,rp->rpProcessPID);
	
	tWaitForSingleObject(rp->rpProcessHandle,INFINITE);
	//打开本程序
	tWinExec(rp->path, SW_SHOW);
	return 0;
}
//守护进程
DWORD	WINAPI WatchThread(LPVOID lparam)
{
	HANDLE	RemoteThreadHandle=(HANDLE)lparam;
	DWORD	ExitCode;

	GetExitCodeThread(RemoteThreadHandle,&ExitCode);

	while(true)
	{
		if(ExitCode!=STILL_ACTIVE)//如果远程线程不激活,就重新激活
		{
			printf("RemoteThreadHandle is over\n");
			RemoteThreadHandle=CreateRemoteThreadProc("notepad.exe");
		}
		Sleep(3000);	
	}
	return 0;
}

yunshouhu
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
c/c++守护进程、线程、线程之间共享和非共享资源、线程常用函数
陈宸的博客
12-12 2311
目录 一、 守护进程 1.1进程组 1.2会话 1.3创建守护进程的步骤 二、线程 2.1 线程之间共享和非共享资源 2.2创建线程pthread_create 2.3 获取当前线程的线程ID pthread_self 2.4 线程退出pthread_exit 2.5 回收子线程资源 pthread_join 2.6 线程分离 pthread_d...
c++ 遍历进程获取进程指定类型句柄后关闭句柄
weixin_42603332的博客
02-10 582
c语言遍历进程并关闭指定类型的句柄的方法如下: 使用 API 函数 EnumProcesses() 枚举所有正在运行的进程。 对于每个进程,使用 OpenProcess() 函数打开进程,并使用 EnumProcessHandles() 函数枚举所有句柄。 对于每个句柄,使用 GetHandleInformation() 函数获取句柄的类型,如果符合指定类型,则使用 CloseHandle(...
Windows下C++获取系统进程列表及相关信息
gongxie0235的博客
11-22 3674
windows下C++获取进程相关信息
C C++最新守护进程_守護進程,2024年最新请谈下C C++消息机制
最新发布
2401_84975241的博客
05-15 942
如果父进程等待子进程结束,将增加父进程的负担,影响服务器进程的并发性能。如果父进程不等待子进程结束,子进程将成为僵尸进程(zombie)从而占用系统资源(关于僵尸进程的更多详情,setsid() 调用成功后,进程成为新的会话组长和新的进程组长,并与原来的登录会话和进程组脱离。由于会话过程对控制终端的独占性,进程同时与控制终端脱离。进程从创建它的父进程那里继承了打开的文件描述符。如不关闭,将会浪费系统资源,造成进程所在的文件系统无法卸下以及引起无法预料的错误。进程从创建它的父进程那里继承了文件创建掩模。
windows C++守护进程实现
懒人在思考~~~~
04-20 687
#include "stdafx.h" #include <iostream> #include <windows.h> #pragma comment(linker, "/subsystem:\"windows\" /entry:\"mainCRTStartup\"") //隐藏控制台窗口 using namespace std; char* cmd = "./test.exe"; int main() { STARTUPINFO si; PROCESS_INFOR.
C++x64内核保护进程源码_保护进程_x64内核保护进程_进程保护_进程保护c++
08-09
内核 X64保护指定进程源码
守护进程,背靠背c++实现
03-21
在本话题中,我们将深入探讨守护进程的原理、C/C++实现以及如何设计具有防杀功能的守护进程守护进程的工作原理: 守护进程在Unix/Linux系统中是非常常见的一种进程类型。它们通过脱离控制终端(detaching from ...
C++编写的守护进程服务程序
10-19
C++编写的守护进程守护进程以windows服务的方式运行,可通过配置文件配置需要守护的exe。
c++ linux 守护进程
11-25
C++编程环境中,创建守护进程是通过操作系统提供的系统调用来实现的。这篇文档将深入探讨如何在Linux环境下使用C++编写守护进程守护进程的主要特性包括: 1. **无控制终端**:守护进程不与任何终端关联,因此...
守护进程程序C++编写保护进程
04-15
标题中的“守护进程程序C++编写保护进程”指的是在C++编程环境中,通过特定的技术手段创建一个守护进程,它的主要任务是确保指定的C#程序(在这里可能是另一个进程)能够持续运行,即使在某些异常情况下(如用户手动...
守护进程,程序异常机后自动重启
01-17
本文将探讨如何在Windows环境下,使用C++编程语言创建一个守护进程应用程序,以实现程序异常机后的自动重启功能。 首先,我们需要理解Windows中的服务模型。在Windows中,服务是一种可以在用户登录之前启动并独立...
C++做的进程守护程序演示(C++源码)
05-28
监视进程的时间,运行状态等信息的程序 守护指定的程序
进程防杀C++实例源代码
08-02
C++实现进程防杀实例源代码.....支持C#外部调用...[DllImport("NoKillDll.dll", EntryPoint = "Init")] private extern static void Init(); //调用 Init();
C++测试源码_驱动源码_驱动模式隐藏保护进程
08-14
C++源码_驱动模式隐藏保护进程 驱动模式 隐藏 保护 进程 win7 ,xp 能用 测试过...
[并发并行]_[C/C++]_[使用线程本地存储Thread Local Storage(TLS)调用复制文件接口的案例]
11-08
http://blog.csdn.net/infoworld/article/details/49715355 项目代码,mingw编译.
用EnumProcesses()枚举进程
晴天的专栏
04-25 8425
参照msdn的例子,用EnumProcesses()枚举进程并输入进程名和句柄。以下代码在vs2008中测试通过: #include "stdafx.h" #include #include "psapi.h" #pragma comment (lib, "psapi.lib ") void MyEnumProcess() { // Get the list of proce
c++ 守护进程程序
ALLENJIAO的专栏
02-22 4722
<br /> STARTUPINFO si; <br />    PROCESS_INFORMATION pi; //进程信息: <br />    ZeroMemory(&si, sizeof(si)); <br />    si.cb = sizeof(si); <br />    ZeroMemory(&pi, sizeof(pi)); <br /> do<br /> { <br />  //创建子进程,判断是否执行成功 <br />  if(!CreateProcess( NULL,"cmd /c
进程之远程线程保护
SR0ad的涅盘地
09-26 678
在Ring3对进程进行保护的方法总是很乏力,HOOK一些Ring3层的函数,对进程名或进程ID进行判断等。今天看了一个比较老的方法,远程线程保护,整理代码,学习到不少,在此记录跟大家分享。 线程保护的思路让其它程序监视自身,如果自身程序退出,那么监视程序就重新启动该程序。使用远程线程将监视代码插入到其他进程,例如winlogon.exe等系统进程。将自己进程的句柄传给保护进程,保护进程通过用Wa
c++ qt 守护进程
07-18
c++ qt守护进程是一种可以在后台运行的进程。它通常用于执行一些长时间运行的任务,例如网络服务、数据处理等需要持续运行而不需要用户交互的任务。 守护进程在启动时会脱离终端控制,并且会将其实际运行位置更改为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值