修改目标进程的父进程

最新推荐文章于 2024-04-12 10:12:23 发布
最新推荐文章于 2024-04-12 10:12:23 发布
阅读量7.4k 收藏 2
点赞数
分类专栏: WINDOWS 开发 文章标签: attributes string struct parameters access basic
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/happyhell/article/details/3977180
版权
本文深入探讨了如何在操作系统层面上修改已运行的目标进程的父进程ID,涉及进程属性、字符串处理、结构体操作及参数访问等关键概念。
摘要由CSDN通过智能技术生成

 

来源:http://pjf.blogone.net
作者:pjf(jfpan20000@sina.com)
  让小师弟测一下1.06的进程规则,他试了试问:“为什么里面有源进程和父进程两项?不就是指创建目标进程的那个进程,它们不是一个意思吗?”
  因为很简单,略略回答了一下,因为好多天没在http://pjf.blogone.net上添东西了,敲下来充数,有点不好意思。
  windows下的父进程并不是指创建目标的源进程,而是指将被子进程所“继承”的对象,子进程的很多重要域,像QuotaBlock、DeviceMap、SessionId、Token、process address space之类都从父进程继承而来。父进程是怎么指定的呢?不论是NtCreateProcess还是NtCreateProcessEx参数中都有一个ParentProcess的handle指明了父进程是谁,它并不要求父进程是当前进程,虽然CreateProcessW总是这样做。所以说前面有了“源进程和父进程”之分。
  那么具体怎样实现父进程不是当前进程呢?Gary Nebbett在n年前给出了一种代码,修改一下贴出来:

以下内容为程序代码:


#define _WIN32_
#include <stdio.h>
#include <windows.h>

extern "C" {
#define NTAPI __stdcall
typedef struct _PEB *PPEB;
#define PAGE_SIZE 0x1000
typedef LONG NTSTATUS;
#define DECLSPEC_IMPORT   __declspec(dllimport)
#define NTSYSAPI   DECLSPEC_IMPORT
typedef struct _CLIENT_ID {
  HANDLE UniqueProcess;
  HANDLE UniqueThread;
} CLIENT_ID;
typedef CLIENT_ID *PCLIENT_ID;
typedef struct _PORT_MESSAGE {
  USHORT DataSize;
  USHORT MessageSize;
  USHORT MessageType;
  USHORT VirtualRangesOffset;
  CLIENT_ID ClientId;
  ULONG MessageId;
  ULONG SectionSize;
  // UCHAR Data[];
} PORT_MESSAGE, *PPORT_MESSAGE;
typedef struct _UNICODE_STRING {
  USHORT Length;
  USHORT MaximumLength;
#ifdef MIDL_PASS
  [size_is(MaximumLength / 2), length_is((Length) / 2) ] USHORT * Buffer;
#else // MIDL_PASS
  PWSTR Buffer;
#endif // MIDL_PASS
} UNICODE_STRING;
typedef UNICODE_STRING *PUNICODE_STRING;
typedef struct _PROCESS_PARAMETERS {
  ULONG AllocationSize;
  ULONG Size;
  ULONG Flags;
  ULONG Zero;
  LONG Console;
  ULONG ProcessGroup;
  HANDLE hStdInput;
  HANDLE hStdOutput;
  HANDLE hStdError;
  UNICODE_STRING CurrentDirectoryName;
  HANDLE CurrentDirectoryHandle;
  UNICODE_STRING DllPath;
  UNICODE_STRING ImageFile;
  UNICODE_STRING CommandLine;
  PWSTR Environment;
  ULONG dwX;
  ULONG dwY;
  ULONG dwXSize;
  ULONG dwYSize;
  ULONG dwXCountChars;
  ULONG dwYCountChars;
  ULONG dwFillAttribute;
  ULONG dwFlags;
  ULONG wShowWindow;
  UNICODE_STRING WindowTitle;
  UNICODE_STRING Desktop;
  UNICODE_STRING Reserved;
  UNICODE_STRING Reserved2;
} PROCESS_PARAMETERS, *PPROCESS_PARAMETERS;
#define OBJ_INHERIT         0x00000002L
#define OBJ_PERMANENT       0x00000010L
#define OBJ_EXCLUSIVE       0x00000020L
#define OBJ_CASE_INSENSITIVE   0x00000040L
#define OBJ_OPENIF         0x00000080L
#define OBJ_OPENLINK         0x00000100L
#define OBJ_KERNEL_HANDLE     0x00000200L
#define OBJ_VALID_ATTRIBUTES   0x000003F2L
typedef struct _OBJECT_ATTRIBUTES {
  ULONG Length;
  HANDLE RootDirectory;
  PUNICODE_STRING ObjectName;
  ULONG Attributes;
  PVOID SecurityDescri
最低0.47元/天 解锁文章
happy hell
关注
专栏目录
linux设置修改进程,linux守护进程及其创建
weixin_34826139的博客
04-29 1369
1.什么是守护进程:在linux或者unix操作系统中在系统引导的时候会开启很多服务,这些服务就叫做守护进程。为了增加灵活性,root可以选择系统开启的模式,这些模式叫做运行级别,每一种运行级别以一定的方式配置系统。守护进程是脱离于终端并且在后台运行的进程。守护进程脱离于终端是为了避免进程在执行过程中的信息在任何终端上显示并且进程也不会被任何终端所产生的终端信息所打断。守护进程,也就是通常说的Da...
创建进程时,指定进程
12-24
在创建一个进程时指定其进程
修改进程
sx5486510的专栏
07-12 3639
extern "C" { #define NTAPI __stdcall typedef struct _PEB *PPEB; #define PAGE_SIZE 0x1000 typedef LONG NTSTATUS; #define DECLSPEC_IMPORT __declspec(dllimport) #define NTSYSAPI DECLSPEC_IMPORT
API拦截应用,改变一个进程进程
qq112358hai198771的专栏
12-24 2337
上一篇介绍了,使用API拦截劫持网址,这篇介绍如何在创建进程时指定其进程。 我们使用PCHunter工具可以看到,大多数的进程都是由explorer.exe进程创建的,也就是桌面进程。 实际上explorer是由登录进程创建的。 从下面这张图中我们可以看出,explorer创建了KuGou等进程。 那我们要做的一件事情就是,我们的进程A创建一个进程B,然后A在创建B的时候
linux 更改进程名称,Linux下修改进程名称
weixin_31845811的博客
04-28 588
原文catalog1.应用场景2.通过Linux prctl修改进程名3.通过修改进程argv[0]修改进程名4.通过bash exec命令修改一个进程的cmdline信息1. 应用场景1.标识进程名称,防止被误杀2.构造假的进程名及参数,引导非法进入人员到蜜罐系统,取证3.恶意程序、木马会通过"檫除"自己的进程名,使ps的时候显示的是一个无名字的进程,同时删除进程对应磁盘上的文件 lRele...
如何改写Linux的进程号,Linux编程基础——fork()
weixin_42284380的博客
04-29 505
1、子进程对存储空间的复制(1) 使用文本编辑器输入源程序输入如下源程序:#include #include #include int main(void){int x,i;printf("Input a initial value for i: ");scanf("%d", &i);while((x=fork())==-1);//创建一个子进程,止到创建成功if(x==0){printf...
易语言进程管理 易语言进程操作
07-17
8. **进程ID**:每个进程都有一个进程,易语言能获取到这个关系,有助于追踪进程的启动路径和原因。 9. **进程模块ID**:除了模块名称,易语言还可以获取模块的唯一标识ID,这在调试和性能分析中也有一定的价值...
Python实现在Linux系统下更改当前进程运行用户
09-22
2. 创建守护进程:守护进程应该脱离终端,拥有自己的会话,并且不作为其进程的子进程。这通常通过两次`os.fork()`和调用`os.setsid()`来实现。 ```python import os pid = os.fork() if pid: sys.exit(0) os....
Python多进程写入同一文件的方法
09-19
需要注意的是,在Windows环境下,由于缺乏类似于Linux的`fork`机制,`multiprocessing`库使用另一种方式创建进程,这可能导致文件句柄不能正确地在进程和子进程之间共享。因此,如果在子进程中尝试访问进程打开...
Windows创建进程时指定进程
被遗弃的庸才博客
11-04 1577
通常情况下,在进程特别多的情况下使用ProcMon抓行为的时候都只是简单的看一下该进程进程树,不会去注意系统进程创建的进程,这里就有了一个想法,可不可以在创建的时候指定进程,之后在网上找了份代码,也没改直接拿来测试下,发现在提权之后是可以指定进程为session 0的进程 #include<windows.h> #include<stdio.h> BOOL ...
linux 更改进程名称,[Linux进程]在进程和子进程中分别修改变量
weixin_30970411的博客
04-28 335
/*这是一个调用fork函数创建一个子进程,然后分别打印输出子进程进程中的变量的实例*/#include#include#include#includeintglob=6;//外部变量intmain(void){intvar;//内部变量pid_tpid;//文件标识符var=88;//内部变量printf("创建新进程之前。\n")...
win10从administrator提权到system(更改进程的pid)
热门推荐
Shanfenglan's blog
11-19 8万+
前言 看到一篇博客讲的一个powershell脚本,下载利用后确实可以成功,特作记录。 实现 脚本下载 certutil -urlcache -split -f https://raw.githubusercontent.com/decoder-it/psgetsystem/master/psgetsys.ps1 在windows下启动一个administrator权限的powershell . .\psgetsys.ps1 [MyProcess]::CreateProcessFromParent(64
进程进程
W Blog
11-06 2920
是个不错的东西。。。
关于Linux下的进程替换(进程篇)
最新发布
m0_73969113的博客
04-12 800
其实这里还涉及到一个写时拷贝的问题:在之前的博客中提及过,进程创建子进程,代码是共享的,地址空间也是共享的,因为代码是不能更改的,而数据写时拷贝。-----------------------------------------------测试代码process_replace.c (下面的测试代码脚本都是这个)-------------------------------------官方的说法是:程序替换,是通过特定的接口,加载磁盘上的一个权限的程序(代码和数据),加载到调用进程的地址空间中!
设置创建进程进程
baixiaohei09的专栏
10-24 4128
/* 根据进程名获取任意进程Id */ DWORD pid = GetProcessIDFromName("services.exe");//遍历进程快照获取进程ID/* 已全部权限打开services.exe 进程 */ HANDLE handle = OpenProcess(PROCESS_ALL_ACCESS,FALSE,pid);/* 创建启动信息结构体 */ STARTUPINFOEX
创建进程时指定进程
Sven的忘却日记
04-29 3461
创建进程时为创建的进程指定进程,可以用来破坏进程链,加大溯源难度,而且用procmon也抓不到日志 #include "stdafx.h" #include "windows.h" #include <intrin.h> #include <TlHelp32.h> DWORD GetProcessIDFromName(WCHAR * name) { PROCESS...
WIN通过子进程获取进程ID
shaochat的专栏
08-21 2911
// ParentPid.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include #include // 对着你的项目点击右键,依次选择:属性、配置属性、常规,然后右边有个“项目默认值”,下面有个2个MFC的使用选项 ULONG_PTR GetParentProc
linux设置已由进程进程,linux&c 进程控制 课后习题
weixin_30181209的博客
05-09 174
(声明:本篇博客只是博主自己的理解,加以整理,目的是总结刚学过的进程知识,不一定绝对正确,非常愿意听客官您提出宝贵意见。)Q1:进程中的全局数据段(全局变量),局部数据段(局部变量),静态数据段的分别位于哪个内存地址空间?答:对于进程的概念,我把它理解一个可执行程序进行的实体,我们c语言代码在变成可执行文件的过程中都会经历下面4步(以我们大家接触的第一个c语言程序“helloworld”为例)(1...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值